StartCom

StartCom 是一家位于以色列埃拉特的证书颁发机构,主要服务包括StartCom Linux Enterprise(Linux发行版),StartSSL(证书颁发)和MediaHost(网站托管)。StartCom在中国、香港、英国和西班牙开设有新的分支机构[2]

StartCom Ltd.
公司类型私人公司
成立1999年,​24年前​(1999
创办人Eddy Nigg[1]
代表人物Iñigo Barreira(CEO),谭晓生(主席),杨卿
总部中国北京
业务范围全球
产业互联网安全英语Internet security公钥基础设施
所有权者奇虎360集团
母公司StartCom CA Ltd.(英国),StartCom CA Ltd.(香港)
网站www.startcom.org

2016年,Mozilla在讨论是否删除沃通和StartCom根证书的调查中发现[3],位于中国深圳的沃通(WoSign)已经由几个不同公司将StartCom秘密收购[a]。在Mozilla和苹果[4][5]的制裁影响下,位于北京的沃通母公司奇虎360集团决定在2016年内重组这些公司,重组后的StartCom将从丑闻缠身的沃通分离,完全成为奇虎360的下属公司[b][6]

2017年11月16日,StartCom宣布终止业务,自2018年1月1日起停止颁发新证书,并于2020年停止OCSPCRL服务[7][8][9]

StartSSL

StartCom提供免费的Class 1 X.509 SSL证书“StartSSL Free”,可用于网站服务器(SSL/TLS)和电子邮件加密英语E-mail encryptionS/MIME)。StartCom还提供Class 2和3的证书,以及扩展验证证书,需要复杂的验证(收费)才能得到。

2011年6月,该公司遭受网络攻击,被迫暂停数字证书发放及相关服务数周[10]。攻击者无法借此机会颁发证书(在被攻击的6家机构中,只有StartCom成功阻止攻击者的颁发尝试)[11]

可信度

StartSSL证书在以下环境中默认启用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日后所有微软操作系统[12][13],以及2010年7月27日后的Opera[14]。因为Google ChromeApple SafariInternet Explorer使用操作系统的证书库,所有主流浏览器都支持StartSSL证书。

2016年9月30日,在对沃通的调查期间,苹果宣布旗下软件不会接受2016年9月19日后由沃通CA签发的证书,并会随调查进展对WoSign/StartCom的信任锚采取进一步行动。

2016年10月24日,Mozilla在其安全博客上宣布,由于在对证书颁发机构沃通数个问题的调查中发现它收购了StartCom,而交易双方并未披露此事[15],Mozilla将从Firefox 51开始,停止信任2016年10月21日后签发的证书[16]。2016年9月1日,Google也宣布会从Chrome 56开始停止信任上述证书[17]。2016年9月30日,苹果产品将阻止由沃通和StartCom根CA签发,且生效日期在2016年12月1日00:00:00 GMT/UTC或其后的证书[18]

2017年7月8日,Google 宣布将完全取消对沃通和 StartCom 所有证书的信任,包括过去签发的证书。[19][20] 2017年7月11日,Firefox也准备完全取消对沃通, Startcom 和 CNNIC 的信任。[21]

StartSSL无限免费证书的限制

尽管在特定用途下是免费且可无限签发的,这些证书仍有一些限制,需付费升级才能解除:

  • 3年的证书有效期
  • 证书吊销需付费

对Heartbleed的应对

2014年4月13日,StartCom发布了[22]一个FAQ页面[23],内容有关OpenSSL中的严重漏洞Heartbleed,后者据估计会使互联网上17%的安全网页服务器面临数据失窃的风险。

StartCom的政策对吊销一张证书收费25美元,并且拒绝对受Heartbleed影响的证书免除这笔费用,只有部分付费客户可免费吊销一张证书[24][25][26][27],这使得很多人对StartCom是否是合格的证书颁发机构产生怀疑[28]。对于已被证明不可信的证书,StartCom拒绝免费吊销,而是在明知的情况下继续提供信任[29]

批评

2016年8月,StartCom被中国证书机构沃通收购[30][31],对此事的最初披露文章因法律原因已被删除[32],但相关转发仍然存在。尽管具体关系不明,但在沃通被发现签发约100张[33]不当SSL证书时似乎已在使用StartCom的技术设施,这些不当证书中包括一张签发给github.com的证书[34]

参见

脚注

  1. ^ 2016年10月的架构:WoSign CA Limited Hong-Kong → StartCom CA Limited(香港)→ StartCom CA Limited(英国)
  2. ^ 2016年10月时的计划架构,2016年底前实施:奇虎360公司链 → 奇飞国际发展有限公司(香港) → StartCom CA Ltd. (香港),StartCom CA香港完全持有StartCom(瑞士)和StartCom CA Ltd.(英国),后者依次持有StartCom Ltd.(以色列)和StartCom CA Ltd.(西班牙)

参考文献

  1. ^ Chirgwin, Richard. Heads roll as Qihoo 360 moves to end WoSign, StartCom certificate row. The Register. 2016-10-10 [2016-12-10]. (原始内容存档于2016-12-20) (英语). 
  2. ^ About StartCom. The Register. Apr 26, 2016 [2016-06-07]. (原始内容存档于2016-06-25) (英语). 
  3. ^ Mozilla. WoSign and StartCom. 2016-10-10 [2016-10-25]. (原始内容存档于2017-12-03) (英语). 
  4. ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (IOS). 2016-09-30 [2017-02-25]. (原始内容存档于2017-04-06) (英语). 
  5. ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (MacOS). 2016-09-30 [2017-02-25]. (原始内容存档于2017-01-30) (英语). 
  6. ^ Qihoo 360 Group. StartCom Remediation Plan (PDF). 2016-10-14 [2016-10-25]. (原始内容 (PDF)存档于2016-10-26) (英语). 
  7. ^ StartSSL™ Certificates & Public Key Infrastructure. www.startcomca.com. [2017-11-17]. (原始内容存档于2017-12-01) (英语). 
  8. ^ Termination of the certificates business of Startcom页面存档备份,存于互联网档案馆), post in mozilla.dev.security.policy newsgroup
  9. ^ 国内证书颁发机构StartCom宣布将停止数字证书业务页面存档备份,存于互联网档案馆),新浪科技
  10. ^ Web authentication authority suffers security breach. The Register. 2011-06-26 [2012-01-14]. (原始内容存档于2012-01-04) (英语). 
  11. ^ How StartCom Foiled Comodohacker: 4 Lessons. InformationWeek英语InformationWeek. 2011-09-08 [2012-12-20]. (原始内容存档于2013-01-03) (英语). 
  12. ^ Microsoft Adds Support for StartCom Certificates. StartCom.org. 2009-09-24 [2011-01-14]. (原始内容 (新闻稿)存档于2011-07-17) (英语). 
  13. ^ Microsoft updates trusted root certs to include StartCom. Sophos.com Naked Security blog. 2009-09-27 (英语). 
  14. ^ New Roots, new EV, and a new Public Suffix file. Opera.com Rootstore blog. [2017-02-25]. (原始内容存档于2010-08-01) (英语). 
  15. ^ CA:WoSign Issues - MozillaWiki. [2016-10-25]. (原始内容存档于2016-10-28) (英语). 
  16. ^ Distrusting New WoSign and StartCom Certificates. 2016-10-24 [2016-10-25]. (原始内容存档于2016-10-25) (英语). 
  17. ^ Distrusting WoSign and StartCom Certificates. Google Online Security Blog. [2016-11-02]. (原始内容存档于2016-11-01) (英语). 
  18. ^ Lists of available trusted root certificates in iOS. Apple Support Web Site. [2016-12-01]. (原始内容存档于2016-11-29) (英语). 
  19. ^ Solidot | Google 将完全取消沃通和 StartCom 的信任. www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-12). 
  20. ^ Google 网上论坛. groups.google.com. [2017-07-11]. (原始内容存档于2013-05-23). 
  21. ^ Solidot | 火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任. www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-22). 
  22. ^ Twitter / startssl: We released a small FAQ page .... StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2017-03-18) (英语). 
  23. ^ Heartbleed F.A.Q.. StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2016-03-07) (英语). 
  24. ^ I use StartCom, and I revoked and re-keyed yesterday. In the revocation reason, ... Hacker News. Geoff. 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语). 
  25. ^ Twitter / codeawe: @tonylampada @startssl .... J. Breitsprecher. 2014-04-11 [2017-02-25]. (原始内容存档于2014-04-14) (英语). 
  26. ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). Jan. 2014-04-09 [2017-02-25]. (原始内容存档于2016-04-04) (英语). 
  27. ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). arnowelzel. 2014-04-10 [2017-02-25]. (原始内容存档于2016-04-04) (英语). 
  28. ^ Most StartSSL certs will stay compromised. 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语). 
  29. ^ StartSSL, please revoke me!. 2014-04-12 [2017-02-25]. (原始内容存档于2014-04-12) (英语). 
  30. ^ Thoughts and Observations: WoSign's secret purchase of StartCom; WoSign threatened legal actions over the disclosure. [2016-09-08]. (原始内容存档于2016-09-05) (英语). 
  31. ^ Thoughts and Observations: StartCom operated solely by WoSign in China - an analysis of the new StartCom website. [2016-09-08]. (原始内容存档于2016-09-07) (英语). 
  32. ^ Can you trust them?. www.letsphish.org. [2017-02-25]. (原始内容存档于2016-09-01) (英语). 
  33. ^ Google 网上论坛. groups.google.com. [2017-02-25]. (原始内容存档于2017-02-25) (英语). 
  34. ^ The story of how WoSign gave me an SSL certificate for GitHub.com. [2017-02-25]. (原始内容存档于2017-03-17) (英语). 

外部链接