StartCom被举报再次签发假证书，CEO回应已撤销

近日，有网友在 Google group 上发帖称，发现 StartCom 签发了几个明显的假证书：

https://crt.sh/?id=146437565 
Subject: 
    commonName                = ov 
    organizationName          = test 
    localityName              = Beijing 
    stateOrProvinceName       = Beijing 
    countryName               = Beijing 
    serialNumber              = 123456 
X509v3 Subject Alternative Name: 
    DNS:www.test.cn 

https://crt.sh/?id=146484676 
Subject: 
    commonName                = iv 
    givenName                 = Jeremy 
    surname                   = Liao 
    localityName              = Beijing 
    stateOrProvinceName       = Beijing 
    countryName               = CN 
X509v3 Subject Alternative Name: 
    DNS:www.test.cn 

https://crt.sh/?id=146517428 
Subject: 
    commonName                = ov 
    organizationName          = test 
    localityName              = Beijing 
    stateOrProvinceName       = Beijing 
    countryName               = Beijing 
    serialNumber              = 123456 
X509v3 Subject Alternative Name: 
    DNS:www.test.cn 

奇虎 360 旗下的 StartCom 之前已经被大部分浏览器取消信任，但现在又签发了假的证书，包括最高信任级别的 EV 证书。该网友表示，这些证书在主流浏览器上将不被接受，但是由于他们的根证书仍然在 NSS 信任存储中，所以对于这种明显的违规行为还是值得探究的。

对此，StartCom CEO Iñigo Barreira 回应称，他们是为了测试而签发了假的证书，证书已被立即撤销。他随后进一步解释说，StartCom 的团队位于中国境内，他们正在实现 Google 维护的 CT log（证书透明），但由于防火长城而遇到了一些问题。他们提出了一个解决方案，在进行测试时候签发了这些假的证书。