StartCom

StartCom 是一家位于以色列埃拉特的证书颁发机构,主要服务包括StartCom Linux Enterprise(Linux发行版),StartSSL(证书颁发)和MediaHost(网站托管)。StartCom在中国、香港、英国和西班牙开设有新的分支机构[2]

StartCom Ltd.
公司類型私人公司
成立1999年1999
創辦人Eddy Nigg[1]
代表人物Iñigo Barreira(CEO),谭晓生(主席),杨卿
總部中国北京
業務範圍全球
产业互联网安全公钥基础设施
所有權者奇虎360集团
母公司StartCom CA Ltd.(英国),StartCom CA Ltd.(香港)
网站www.startcom.org

2016年,Mozilla在讨论是否删除沃通和StartCom根证书的调查中发现[3],位于中国深圳的沃通(WoSign)已经由几个不同公司将StartCom秘密收购[lower-alpha 1]。在Mozilla和苹果[4][5]的制裁影响下,位于北京的沃通母公司奇虎360集团决定在2016年内重组这些公司,重组后的StartCom将从丑闻缠身的沃通分离,完全成为奇虎360的下属公司[lower-alpha 2][6]

2017年11月16日,StartCom宣布终止业务,自2018年1月1日起停止颁发新证书,并于2020年停止OCSPCRL服务[7][8][9]

StartSSL

StartCom提供免费的Class 1 X.509 SSL证书“StartSSL Free”,可用于网站服务器(SSL/TLS)和电子邮件加密S/MIME)。StartCom还提供Class 2和3的证书,以及扩展验证证书,需要复杂的验证(收费)才能得到。

2011年6月,该公司遭受网络攻击,被迫暂停数字证书发放及相关服务数周[10]。攻击者无法借此机会颁发证书(在被攻击的6家机构中,只有StartCom成功阻止攻击者的颁发尝试)[11]

可信度

StartSSL证书在以下环境中默认启用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日后所有微软操作系统[12][13],以及2010年7月27日后的Opera[14]。因为Google ChromeApple SafariInternet Explorer使用操作系统的证书库,所有主流浏览器都支持StartSSL证书。

2016年9月30日,在对沃通的调查期间,苹果宣布旗下软件不会接受2016年9月19日后由沃通CA签发的证书,并会随调查进展对WoSign/StartCom的信任锚采取进一步行动。

2016年10月24日,Mozilla在其安全博客上宣布,由于在对证书颁发机构沃通数个问题的调查中发现它收购了StartCom,而交易双方并未披露此事[15],Mozilla将从Firefox 51开始,停止信任2016年10月21日后签发的证书[16]。2016年9月1日,Google也宣布会从Chrome 56开始停止信任上述证书[17]。2016年9月30日,苹果产品将阻止由沃通和StartCom根CA签发,且生效日期在2016年12月1日00:00:00 GMT/UTC或其后的证书[18]

2017年7月8日,Google 宣布将完全取消对沃通和 StartCom 所有证书的信任,包括过去签发的证书。[19][20] 2017年7月11日,Firefox也准备完全取消对沃通, Startcom 和 CNNIC 的信任。[21]

StartSSL无限免费证书的限制

尽管在特定用途下是免费且可无限签发的,这些证书仍有一些限制,需付费升级才能解除:

  • 3年的证书有效期
  • 证书吊销需付费

对Heartbleed的应对

2014年4月13日,StartCom发布了[22]一个FAQ页面[23],内容有关OpenSSL中的严重漏洞Heartbleed,后者据估计会使互联网上17%的安全网页服务器面临数据失窃的风险。

StartCom的政策对吊销一张证书收费25美元,并且拒绝对受Heartbleed影响的证书免除这笔费用,只有部分付费客户可免费吊销一张证书[24][25][26][27],这使得很多人对StartCom是否是合格的证书颁发机构产生怀疑[28]。对于已被证明不可信的证书,StartCom拒绝免费吊销,而是在明知的情况下继续提供信任[29]

批评

2016年8月,StartCom被中国证书机构沃通收购[30][31],对此事的最初披露文章因法律原因已被删除[32],但相关转发仍然存在。尽管具体关系不明,但在沃通被发现签发约100张[33]不当SSL证书时似乎已在使用StartCom的技术设施,这些不当证书中包括一张签发给github.com的证书[34]

参见

脚注
  1. 2016年10月的架构:WoSign CA Limited Hong-Kong → StartCom CA Limited(香港)→ StartCom CA Limited(英国)
  2. 2016年10月时的计划架构,2016年底前实施:奇虎360公司链 → 奇飛國際發展有限公司(香港) → StartCom CA Ltd. (香港),StartCom CA香港完全持有StartCom(瑞士)和StartCom CA Ltd.(英国),后者依次持有StartCom Ltd.(以色列)和StartCom CA Ltd.(西班牙)

参考文献
  1. Chirgwin, Richard. . The Register. 2016-10-10 [2016-12-10]. (原始内容存档于2016-12-20) (英语).
  2. . The Register. Apr 26, 2016 [2016-06-07]. (原始内容存档于2016-06-25) (英语).
  3. Mozilla. . 2016-10-10 [2016-10-25]. (原始内容存档于2017-12-03) (英语).
  4. apple. . 2016-09-30 [2017-02-25]. (原始内容存档于2017-04-06) (英语).
  5. apple. . 2016-09-30 [2017-02-25]. (原始内容存档于2017-01-30) (英语).
  6. Qihoo 360 Group. (PDF). 2016-10-14 [2016-10-25]. (原始内容 (PDF)存档于2016-10-26) (英语).
  7. . www.startcomca.com. [2017-11-17]. (原始内容存档于2017-12-01) (英语).
  8. Termination of the certificates business of Startcom 页面存档备份,存于, post in mozilla.dev.security.policy newsgroup
  9. 国内证书颁发机构StartCom宣布将停止数字证书业务 页面存档备份,存于,新浪科技
  10. . The Register. 2011-06-26 [2012-01-14]. (原始内容存档于2012-01-04) (英语).
  11. . InformationWeek. 2011-09-08 [2012-12-20]. (原始内容存档于2013-01-03) (英语).
  12. . StartCom.org. 2009-09-24 [2011-01-14]. (原始内容 (新闻稿)存档于2011-07-17) (英语).
  13. . Sophos.com Naked Security blog. 2009-09-27 (英语).
  14. . Opera.com Rootstore blog. [2017-02-25]. (原始内容存档于2010-08-01) (英语).
  15. . [2016-10-25]. (原始内容存档于2016-10-28) (英语).
  16. . 2016-10-24 [2016-10-25]. (原始内容存档于2016-10-25) (英语).
  17. . Google Online Security Blog. [2016-11-02]. (原始内容存档于2016-11-01) (英语).
  18. . Apple Support Web Site. [2016-12-01]. (原始内容存档于2016-11-29) (英语).
  19. . www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-12).
  20. . groups.google.com. [2017-07-11]. (原始内容存档于2013-05-23).
  21. . www.solidot.org. [2017-07-11]. (原始内容存档于2017-07-22).
  22. . StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2017-03-18) (英语).
  23. . StartCom. 2014-04-13 [2017-02-25]. (原始内容存档于2016-03-07) (英语).
  24. . Geoff. 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语).
  25. . J. Breitsprecher. 2014-04-11 [2017-02-25]. (原始内容存档于2014-04-14) (英语).
  26. . Jan. 2014-04-09 [2017-02-25]. (原始内容存档于2016-04-04) (英语).
  27. . arnowelzel. 2014-04-10 [2017-02-25]. (原始内容存档于2016-04-04) (英语).
  28. . 2014-04-09 [2017-02-25]. (原始内容存档于2016-12-03) (英语).
  29. . 2014-04-12 [2017-02-25]. (原始内容存档于2014-04-12) (英语).
  30. . [2016-09-08]. (原始内容存档于2016-09-05) (英语).
  31. . [2016-09-08]. (原始内容存档于2016-09-07) (英语).
  32. . www.letsphish.org. [2017-02-25]. (原始内容存档于2016-09-01) (英语).
  33. . groups.google.com. [2017-02-25]. (原始内容存档于2017-02-25) (英语).
  34. . [2017-02-25]. (原始内容存档于2017-03-17) (英语).

外部链接
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.