Firefox瀏覽器背后的Mozilla基金會正在考慮對沃通(WoSign)及被其秘密收購的StartCom(著名的StartSSL即其旗下產品)這兩個CA一年內新簽發的所有SSL證書進行封殺。

Mozilla的工程師是在對這兩個CA簽發了一系列可疑的SSL SHA-1證書進行調查之后，宣布了這個禁令。

這兩家CA試圖規避SHA-1停用政策

該問題主要是因為各大主要瀏覽器廠商共同決定從2016年1月1日開始就停止接受采用陳舊的SHA-1簽名算法的證書。而Mozilla指責沃通今年還在簽發SHA-1簽名的證書，并將簽發日期倒填成去年12月份。

雖然Mozilla也允許一些其它的CA在2016年1月1日之后繼續簽發SHA-1證書，比如說賽門鐵克，但是他們僅允許那些通過了復雜的審批流程的CA這樣做，而顯然沃通沒有得到同意。

沃通秘密收購了StartCom

此外，沃通似乎在否認其收購了以色列CA公司StartCom。Mozilla說，沃通已經于2015年11月1日百分百地收購了StartCom。而另一方面，據稱它共計持有84%的沃通股份。但是這些信息沃通此前都予以否認或拒絕發表意見。

此外，在Mozilla披露的技術細節中顯示，StartCom已經開始使用沃通的基礎架構來簽發新的證書了。而且，StartCom也和沃通一樣在2016年采用了倒填日期的手段來簽發SHA-1證書。Mozilla的安全工程師也展示了這種違例的案例細節。

Mozilla的調查發現，一個和GeoTrust CA合作了多年的付費處理機構Tyro突然在6月中旬使用StartCom部署了一個SHA-1簽名的證書，而此前該機構從未和StartCom有過合作。該證書看起來是在2015年12月20日簽發的，而在同一個日期StartCom簽發大量的SHA-1證書。Mozlla發現這些證書部署于2016年中，這很不正常，這顯然是采用倒填日期來規避SHA-1停用的策略。

這些問題以及其它的更多問題讓Mozilla決定在至少一年內不再信任沃通和StartCom的SSL證書。

或許會永久封殺

Mozilla說這個臨時封殺僅針對這兩個公司最新簽發的證書，不影響已經分發給他們的客戶的證書。如果這兩個公司在一年的封殺后沒有通過一系列的檢查，Mozilla將準備封殺這兩個公司的所有證書。

“許多人都在盯著Web PKI安全體系，如果發現了這樣的倒填(不管是什么原因)，Mozilla會立即永久地取消對沃通和StartCom根證書的信任。”該報告中說。

此外，Chrome和其它產品的對它們的封殺也在計劃中。“其它的瀏覽器廠商和根證書存儲運營者也會做出他們自己的決定，我們在這個文檔中擺出了這些信息，以便他們了解我們做出這個決定的原因，并可以據此做出他們的決定。”Mozilla說。