Firefox 瀏覽器背后的 Mozilla 基金會正在考慮對沃通(WoSign)及被其秘密收購的 StartCom(著名的 StartSSL 即其旗下產品)這兩個 CA 一年內新簽發的所有 SSL 證書進行封殺。

Mozilla 的工程師是在對這兩個 CA 簽發了一系列可疑的 SSL SHA-1 證書進行調查之后，宣布了這個禁令。

這兩家 CA 試圖規避 SHA-1 停用政策

該問題主要是因為各大主要瀏覽器廠商共同決定從 2016 年 1 月 1 日開始就停止接受采用陳舊的 SHA-1 簽名算法的證書。而 Mozilla 指責沃通今年還在簽發 SHA-1 簽名的證書，并將簽發日期倒填成去年 12 月份。

雖然 Mozilla 也允許一些其它的 CA 在 2016 年 1 月 1 日之后繼續簽發 SHA-1 證書，比如說賽門鐵克，但是他們僅允許那些通過了復雜的審批流程的 CA 這樣做，而顯然沃通沒有得到同意。

沃通秘密收購了 StartCom

此外，沃通似乎在否認其收購了以色列 CA 公司 StartCom。Mozilla 說，沃通已經于 2015 年 11 月 1 日百分百地收購了 StartCom。而另一方面，據奇虎 360 稱，它共計持有 84% 的沃通股份。但是這些信息沃通此前都予以否認或拒絕發表意見。

此外，在 Mozilla 披露的技術細節中顯示，StartCom 已經開始使用沃通的基礎架構來簽發新的證書了。而且，StartCom 也和沃通一樣在 2016 年采用了倒填日期的手段來簽發 SHA-1 證書。Mozilla 的安全工程師也展示了這種違例的案例細節。

Mozilla 的調查發現，一個和 GeoTrust CA 合作了多年的付費處理機構 Tyro 突然在 6 月中旬使用 StartCom 部署了一個 SHA-1 簽名的證書，而此前該機構從未和 StartCom 有過合作。該證書看起來是在 2015 年 12 月 20 日簽發的，而在同一個日期 StartCom 簽發大量的 SHA-1 證書。Mozlla 發現這些證書部署于 2016 年中，這很不正常，這顯然是采用倒填日期來規避 SHA-1 停用的策略。

這些問題以及其它的更多問題讓 Mozilla 決定在至少一年內不再信任沃通和 StartCom 的 SSL 證書。

或許會永久封殺

Mozilla 說這個臨時封殺僅針對這兩個公司最新簽發的證書，不影響已經分發給他們的客戶的證書。如果這兩個公司在一年的封殺后沒有通過一系列的檢查，Mozilla 將準備封殺這兩個公司的所有證書。

“許多人都在盯著 Web PKI 安全體系，如果發現了這樣的倒填(不管是什么原因)，Mozilla 會立即永久地取消對沃通和 StartCom 根證書的信任。”該報告中說。

此外，Chrome 和其它產品的對它們的封殺也在計劃中。“其它的瀏覽器廠商和根證書存儲運營者也會做出他們自己的決定，我們在這個文檔中擺出了這些信息，以便他們了解我們做出這個決定的原因，并可以據此做出他們的決定。”Mozilla 說。