StartCom 是一家位於以色列埃拉特的證書頒發機構,主要服務包括StartCom Linux Enterprise(Linux發行版),StartSSL(證書頒發)和MediaHost(網站託管)。StartCom在中國、香港、英國和西班牙開設有新的分支機構[2]

Quick Facts StartCom Ltd., 公司類型 ...
StartCom Ltd.
公司類型私人公司
成立1999年,​25年前​(1999
創辦人Eddy Nigg[1]
代表人物Iñigo Barreira(CEO),譚曉生(主席),楊卿
總部中國北京
業務範圍全球
產業互聯網安全英語Internet security公鑰基礎設施
所有權者奇虎360集團
母公司StartCom CA Ltd.(英國),StartCom CA Ltd.(香港)
網站www.startcom.org
Close

2016年,Mozilla在討論是否刪除沃通和StartCom根證書的調查中發現[3],位於中國深圳的沃通(WoSign)已經由幾個不同公司將StartCom秘密收購[a]。在Mozilla和蘋果[4][5]的制裁影響下,位於北京的沃通母公司奇虎360集團決定在2016年內重組這些公司,重組後的StartCom將從醜聞纏身的沃通分離,完全成為奇虎360的下屬公司[b][6]

2017年11月16日,StartCom宣布終止業務,自2018年1月1日起停止頒發新證書,並於2020年停止OCSPCRL服務[7][8][9]

StartSSL

StartCom提供免費的Class 1 X.509 SSL證書「StartSSL Free」,可用於網站服務器(SSL/TLS)和電子郵件加密英語E-mail encryptionS/MIME)。StartCom還提供Class 2和3的證書,以及擴展驗證證書,需要複雜的驗證(收費)才能得到。

2011年6月,該公司遭受網絡攻擊,被迫暫停數字證書發放及相關服務數周[10]。攻擊者無法藉此機會頒發證書(在被攻擊的6家機構中,只有StartCom成功阻止攻擊者的頒發嘗試)[11]

可信度

StartSSL證書在以下環境中默認啟用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日後所有微軟操作系統[12][13],以及2010年7月27日後的Opera[14]。因為Google ChromeApple SafariInternet Explorer使用操作系統的證書庫,所有主流瀏覽器都支持StartSSL證書。

2016年9月30日,在對沃通的調查期間,蘋果宣布旗下軟件不會接受2016年9月19日後由沃通CA簽發的證書,並會隨調查進展對WoSign/StartCom的信任錨採取進一步行動。

2016年10月24日,Mozilla在其安全博客上宣布,由於在對證書頒發機構沃通數個問題的調查中發現它收購了StartCom,而交易雙方並未披露此事[15],Mozilla將從Firefox 51開始,停止信任2016年10月21日後簽發的證書[16]。2016年9月1日,Google也宣布會從Chrome 56開始停止信任上述證書[17]。2016年9月30日,蘋果產品將阻止由沃通和StartCom根CA簽發,且生效日期在2016年12月1日00:00:00 GMT/UTC或其後的證書[18]

2017年7月8日,Google 宣布將完全取消對沃通和 StartCom 所有證書的信任,包括過去簽發的證書。[19][20] 2017年7月11日,Firefox也準備完全取消對沃通, Startcom 和 CNNIC 的信任。[21]

StartSSL無限免費證書的限制

儘管在特定用途下是免費且可無限簽發的,這些證書仍有一些限制,需付費升級才能解除:

  • 3年的證書有效期
  • 證書吊銷需付費

對Heartbleed的應對

2014年4月13日,StartCom發布了[22]一個FAQ頁面[23],內容有關OpenSSL中的嚴重漏洞Heartbleed,後者據估計會使互聯網上17%的安全網頁服務器面臨數據失竊的風險。

StartCom的政策對吊銷一張證書收費25美元,並且拒絕對受Heartbleed影響的證書免除這筆費用,只有部分付費客戶可免費吊銷一張證書[24][25][26][27],這使得很多人對StartCom是否是合格的證書頒發機構產生懷疑[28]。對於已被證明不可信的證書,StartCom拒絕免費吊銷,而是在明知的情況下繼續提供信任[29]

批評

2016年8月,StartCom被中國證書機構沃通收購[30][31],對此事的最初披露文章因法律原因已被刪除[32],但相關轉發仍然存在。儘管具體關係不明,但在沃通被發現簽發約100張[33]不當SSL證書時似乎已在使用StartCom的技術設施,這些不當證書中包括一張簽發給github.com的證書[34]

參見

腳註

參考文獻

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.