StartCom
StartCom 是一家位于以色列埃拉特的证书颁发机构,主要服务包括StartCom Linux Enterprise(Linux发行版),StartSSL(证书颁发)和MediaHost(网站托管)。StartCom在中国、香港、英国和西班牙开设有新的分支机构[2]。
StartCom Ltd. | |
---|---|
公司类型 | 私人公司 |
成立 | 1999年 |
创办人 | Eddy Nigg[1] |
代表人物 | Iñigo Barreira(CEO),谭晓生(主席),杨卿 |
总部 | 中国北京 |
业务范围 | 全球 |
产业 | 互联网安全,公钥基础设施 |
所有权者 | 奇虎360集团 |
母公司 | StartCom CA Ltd.(英国),StartCom CA Ltd.(香港) |
网站 | www |
2016年,Mozilla在讨论是否删除沃通和StartCom根证书的调查中发现[3],位于中国深圳的沃通(WoSign)已经由几个不同公司将StartCom秘密收购[a]。在Mozilla和苹果[4][5]的制裁影响下,位于北京的沃通母公司奇虎360集团决定在2016年内重组这些公司,重组后的StartCom将从丑闻缠身的沃通分离,完全成为奇虎360的下属公司[b][6]。
2017年11月16日,StartCom宣布终止业务,自2018年1月1日起停止颁发新证书,并于2020年停止OCSP和CRL服务[7][8][9]。
StartSSL
StartCom提供免费的Class 1 X.509 SSL证书“StartSSL Free”,可用于网站伺服器(SSL/TLS)和电邮加密(S/MIME)。StartCom还提供Class 2和3的证书,以及扩展验证证书,需要复杂的验证(收费)才能得到。
2011年6月,该公司遭受网络攻击,被迫暂停数码证书发放及相关服务数周[10]。攻击者无法借此机会颁发证书(在被攻击的6家机构中,只有StartCom成功阻止攻击者的颁发尝试)[11]。
可信度
StartSSL证书在以下环境中默认启用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日后所有微软操作系统[12][13],以及2010年7月27日后的Opera[14]。因为Google Chrome,Apple Safari和Internet Explorer使用操作系统的证书库,所有主流浏览器都支持StartSSL证书。
2016年9月30日,在对沃通的调查期间,苹果宣布旗下软件不会接受2016年9月19日后由沃通CA签发的证书,并会随调查进展对WoSign/StartCom的信任锚采取进一步行动。
2016年10月24日,Mozilla在其安全部落格上宣布,由于在对证书颁发机构沃通数个问题的调查中发现它收购了StartCom,而交易双方并未披露此事[15],Mozilla将从Firefox 51开始,停止信任2016年10月21日后签发的证书[16]。2016年9月1日,Google也宣布会从Chrome 56开始停止信任上述证书[17]。2016年9月30日,苹果产品将阻止由沃通和StartCom根CA签发,且生效日期在2016年12月1日00:00:00 GMT/UTC或其后的证书[18]。
2017年7月8日,Google 宣布将完全取消对沃通和 StartCom 所有证书的信任,包括过去签发的证书。[19][20] 2017年7月11日,Firefox也准备完全取消对沃通, Startcom 和 CNNIC 的信任。[21]
StartSSL无限免费证书的限制
尽管在特定用途下是免费且可无限签发的,这些证书仍有一些限制,需付费升级才能解除:
- 3年的证书有效期
- 证书吊销需付费
对Heartbleed的应对
2014年4月13日,StartCom发布了[22]一个FAQ页面[23],内容有关OpenSSL中的严重漏洞Heartbleed,后者据估计会使互联网上17%的安全网页伺服器面临数据失窃的风险。
StartCom的政策对吊销一张证书收费25美元,并且拒绝对受Heartbleed影响的证书免除这笔费用,只有部分付费客户可免费吊销一张证书[24][25][26][27],这使得很多人对StartCom是否是合格的证书颁发机构产生怀疑[28]。对于已被证明不可信的证书,StartCom拒绝免费吊销,而是在明知的情况下继续提供信任[29]。
批评
2016年8月,StartCom被中国证书机构沃通收购[30][31],对此事的最初披露文章因法律原因已被删除[32],但相关转发仍然存在。尽管具体关系不明,但在沃通被发现签发约100张[33]不当SSL证书时似乎已在使用StartCom的技术设施,这些不当证书中包括一张签发给github.com的证书[34]。
参见
脚注
参考文献
- ^ Chirgwin, Richard. Heads roll as Qihoo 360 moves to end WoSign, StartCom certificate row. The Register. 2016-10-10 [2016-12-10]. (原始内容存档于2016-12-20) (英语).
- ^ About StartCom. The Register. Apr 26, 2016 [2016-06-07]. (原始内容存档于2016-06-25) (英语).
- ^ Mozilla. WoSign and StartCom. 2016-10-10 [2016-10-25]. (原始内容存档于2017-12-03) (英语).
- ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (IOS). 2016-09-30 [2017-02-25]. (原始内容存档于2017-04-06) (英语).
- ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (MacOS). 2016-09-30 [2017-02-25]. (原始内容存档于2017-01-30) (英语).
- ^ Qihoo 360 Group. StartCom Remediation Plan (PDF). 2016-10-14 [2016-10-25]. (原始内容 (PDF)存档于2016-10-26) (英语).
- ^ StartSSL™ Certificates & Public Key Infrastructure. www.startcomca.com. [2017-11-17]. (原始内容存档于2017-12-01) (英语).
- ^ Termination of the certificates business of Startcom (页面存档备份,存于互联网档案馆), post in mozilla.dev.security.policy newsgroup
- ^ 国内证书颁发机构StartCom宣布将停止数码证书业务 (页面存档备份,存于互联网档案馆),新浪科技
- ^ Web authentication authority suffers security breach. The Register. 2011-06-26 [2012-01-14]. (原始内容存档于2012-01-04) (英语).
- ^ How StartCom Foiled Comodohacker: 4 Lessons. InformationWeek. 2011-09-08 [2012-12-20]. (原始内容存档于2013-01-03) (英语).
- ^ Microsoft Adds Support for StartCom Certificates. StartCom.org. 2009-09-24 [2011-01-14]. (原始内容 (新闻稿)存档于2011-07-17) (英语).
- ^ Microsoft updates trusted root certs to include StartCom. Sophos.com Naked Security blog. 2009-09-27 (英语).
- ^ New Roots, new EV, and a new Public Suffix file. Opera.com Rootstore blog. [2017-02-25]. (原始内容存档于2010-08-01) (英语).
- ^ CA:WoSign Issues - MozillaWiki. [2016-10-25]. (原始内容存档于2016-10-28) (英语).
- ^ Distrusting New WoSign and StartCom Certificates. 2016-10-24 [2016-10-25]. (原始内容存档于2016-10-25) (英语).
- ^ Distrusting WoSign and StartCom Certificates. Google Online Security Blog. [2016-11-02]. (原始内容存档于2016-11-01) (英语).
- ^ Lists of available trusted root certificates in iOS. Apple Support Web Site. [2016-12-01]. (原始内容存档于2016-11-29) (英语).
- ^ Solidot | Google 将完全取消沃通和 StartCom 的信任. www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-12).
- ^ Google 网上论坛. groups.google.com. [2017-07-11]. (原始内容存档于2013-05-23).
- ^ Solidot | 火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任. www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-22).
- ^ Twitter / startssl: We released a small FAQ page .... StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2017-03-18) (英语).
- ^ Heartbleed F.A.Q.. StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2016-03-07) (英语).
- ^ I use StartCom, and I revoked and re-keyed yesterday. In the revocation reason, ... Hacker News. Geoff. 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语).
- ^ Twitter / codeawe: @tonylampada @startssl .... J. Breitsprecher. 2014-04-11 [2017-02-25]. (原始内容存档于2014-04-14) (英语).
- ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). Jan. 2014-04-09 [2017-02-25]. (原始内容存档于2016-04-04) (英语).
- ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). arnowelzel. 2014-04-10 [2017-02-25]. (原始内容存档于2016-04-04) (英语).
- ^ Most StartSSL certs will stay compromised. 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语).
- ^ StartSSL, please revoke me!. 2014-04-12 [2017-02-25]. (原始内容存档于2014-04-12) (英语).
- ^ Thoughts and Observations: WoSign's secret purchase of StartCom; WoSign threatened legal actions over the disclosure. [2016-09-08]. (原始内容存档于2016-09-05) (英语).
- ^ Thoughts and Observations: StartCom operated solely by WoSign in China - an analysis of the new StartCom website. [2016-09-08]. (原始内容存档于2016-09-07) (英语).
- ^ Can you trust them?. www.letsphish.org. [2017-02-25]. (原始内容存档于2016-09-01) (英语).
- ^ Google 网上论坛. groups.google.com. [2017-02-25]. (原始内容存档于2017-02-25) (英语).
- ^ The story of how WoSign gave me an SSL certificate for GitHub.com. [2017-02-25]. (原始内容存档于2017-03-17) (英语).