StartCom 是一家位於以色列艾拉特的憑證頒發機構,主要服務包括StartCom Linux Enterprise(Linux發行版),StartSSL(憑證頒發)和MediaHost(網站代管)。StartCom在中國、香港、英國和西班牙開設有新的分支機構[2]

Quick Facts StartCom Ltd., 公司類型 ...
StartCom Ltd.
公司類型私人公司
成立1999年,​25年前​(1999
創辦人Eddy Nigg[1]
代表人物Iñigo Barreira(CEO),譚曉生(主席),楊卿
總部中國北京
業務範圍全球
產業網際網路安全英語Internet security公鑰基礎設施
所有權者奇虎360集團
母公司StartCom CA Ltd.(英國),StartCom CA Ltd.(香港)
網站www.startcom.org
Close

2016年,Mozilla在討論是否刪除沃通和StartCom根憑證的調查中發現[3],位於中國深圳的沃通(WoSign)已經由幾個不同公司將StartCom秘密收購[a]。在Mozilla和蘋果[4][5]的制裁影響下,位於北京的沃通母公司奇虎360集團決定在2016年內重組這些公司,重組後的StartCom將從醜聞纏身的沃通分離,完全成為奇虎360的下屬公司[b][6]

2017年11月16日,StartCom宣布終止業務,自2018年1月1日起停止頒發新憑證,並於2020年停止OCSPCRL服務[7][8][9]

StartSSL

StartCom提供免費的Class 1 X.509 SSL憑證「StartSSL Free」,可用於網站伺服器(SSL/TLS)和電子郵件加密英語E-mail encryptionS/MIME)。StartCom還提供Class 2和3的憑證,以及擴充驗證憑證,需要複雜的驗證(收費)才能得到。

2011年6月,該公司遭受網路攻擊,被迫暫停數位憑證發放及相關服務數周[10]。攻擊者無法藉此機會頒發憑證(在被攻擊的6家機構中,只有StartCom成功阻止攻擊者的頒發嘗試)[11]

可信度

StartSSL憑證在以下環境中預設啟用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日後所有微軟作業系統[12][13],以及2010年7月27日後的Opera[14]。因為Google ChromeApple SafariInternet Explorer使用作業系統的憑證庫,所有主流瀏覽器都支援StartSSL憑證。

2016年9月30日,在對沃通的調查期間,蘋果宣布旗下軟體不會接受2016年9月19日後由沃通CA簽發的憑證,並會隨調查進展對WoSign/StartCom的信任錨採取進一步行動。

2016年10月24日,Mozilla在其安全部落格上宣布,由於在對憑證頒發機構沃通數個問題的調查中發現它收購了StartCom,而交易雙方並未披露此事[15],Mozilla將從Firefox 51開始,停止信任2016年10月21日後簽發的憑證[16]。2016年9月1日,Google也宣布會從Chrome 56開始停止信任上述憑證[17]。2016年9月30日,蘋果產品將阻止由沃通和StartCom根CA簽發,且生效日期在2016年12月1日00:00:00 GMT/UTC或其後的憑證[18]

2017年7月8日,Google 宣布將完全取消對沃通和 StartCom 所有憑證的信任,包括過去簽發的憑證。[19][20] 2017年7月11日,Firefox也準備完全取消對沃通, Startcom 和 CNNIC 的信任。[21]

StartSSL無限免費憑證的限制

儘管在特定用途下是免費且可無限簽發的,這些憑證仍有一些限制,需付費升級才能解除:

  • 3年的憑證有效期
  • 憑證吊銷需付費

對Heartbleed的應對

2014年4月13日,StartCom發布了[22]一個FAQ頁面[23],內容有關OpenSSL中的嚴重漏洞Heartbleed,後者據估計會使網際網路上17%的安全網頁伺服器面臨資料失竊的風險。

StartCom的政策對吊銷一張憑證收費25美元,並且拒絕對受Heartbleed影響的憑證免除這筆費用,只有部分付費客戶可免費吊銷一張憑證[24][25][26][27],這使得很多人對StartCom是否是合格的憑證頒發機構產生懷疑[28]。對於已被證明不可信的憑證,StartCom拒絕免費吊銷,而是在明知的情況下繼續提供信任[29]

批評

2016年8月,StartCom被中國憑證機構沃通收購[30][31],對此事的最初披露文章因法律原因已被刪除[32],但相關轉發仍然存在。儘管具體關係不明,但在沃通被發現簽發約100張[33]不當SSL憑證時似乎已在使用StartCom的技術設施,這些不當憑證中包括一張簽發給github.com的憑證[34]

參見

註腳

參考文獻

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.