近日,有网友在 Google group 上发帖称,发现 StartCom 签发了几个明显的假证书: https://crt.sh/?id=146437565 Subject: commonName = ov organizationName = test localityName = Beijing stateOrProvinceName = Beijing countryName = Beijing serialNumber = 123456 X509v3 Subject Alternative Name: DNS:www.test.cn
https://crt.sh/?id=146484676 Subject: commonName = iv givenName = Jeremy surname = Liao localityName = Beijing stateOrProvinceName = Beijing countryName = CN X509v3 Subject Alternative Name: DNS:www.test.cn
https://crt.sh/?id=146517428 Subject: commonName = ov organizationName = test localityName = Beijing stateOrProvinceName = Beijing countryName = Beijing serialNumber = 123456 X509v3 Subject Alternative Name: DNS:www.test.cn
奇虎 360 旗下的 StartCom 之前已经被大部分浏览器取消信任,但现在又签发了假的证书,包括最高信任级别的 EV 证书。该网友表示,这些证书在主流浏览器上将不被接受,但是由于他们的根证书仍然在 NSS 信任存储中,所以对于这种明显的违规行为还是值得探究的。 对此,StartCom CEO Iñigo Barreira 回应称,他们是为了测试而签发了假的证书,证书已被立即撤销。他随后进一步解释说,StartCom 的团队位于中国境内,他们正在实现 Google 维护的 CT log(证书透明),但由于防火长城而遇到了一些问题。他们提出了一个解决方案,在进行测试时候签发了这些假的证书。 |