惊闻StartCom之死

数日前浏览V2ex时,见有人转载这样一条新闻,大意是:StartCom宣布停止其数字证书业务。

回想当年,没有Let's Encrypt这个免费且全自动签发的CA之前,StartCom曾为万千个人站长提供1年免费的SSL证书,令访客可以更安全地连接到网站。

然而,臭名昭著的沃通,或者其背后的金主奇虎360公司,作为被StartCom签名的Intermediate CA,先是逆向收购了StartCom,其后又做出一系列极低水平、极不负责任的行为,包括但不限于:

  1. 利用倒填生效日期(ValidAfter)规避浏览器对新签发的SHA-1证书的限制(提示"不安全"等)
  2. 申请二级域名证书(如demo.github.io)可同时获得根域名(如github.io)证书

这直接导致沃通的免费SSL CA被吊销;与之同时,StartCom的根证书尽管没被所有操作系统/浏览器吊销/设为"不信任",但其信誉,作为CA之根本的信誉却严重受损——就像2011年伊朗的由国家支持的骇客侵入DigiNotar的PKI系统,窃取CA证书私钥,签名假证书用以中间人攻击;这件事没有直接导致DigiNotar破产,但因用户不信任其网络安全水平,加之其多个(私钥泄露的)根证书被众多操作系统/浏览器吊销,这家CA在不足半年后破产。

如今,沃通似乎毫发无伤,近期还传出其要"改名"——将"WoSign"改为"WoTrus"——有网友将其新名称调侃为"WoRevoke"(Revoke意为吊销)……

而曾经服务于万千网站的StartCom,已经成为历史……