Mozilla不再信任新的CNNIC證書
文章翻譯自Mozilla博客原文。本人才疏學淺,疏漏之處在所難免如有錯誤歡迎留言斧正!
上週, Mozilla的 注意到一個叫做 CNNIC 的證書機構頒發了一個不受約束的中級證書,這個證書隨後就被接受者用來給並沒有擁有域名或者控制權的域名頒發證書(比如說:中間人攻擊)。我們把這個中級證書加入到了火狐直接吊銷系統(OneCRL)的詢問中,並且對此事展開了進一步的調查。
在審查了這種情況以及在我們的公開郵件列表中進行了一場熱烈的討論之後, 我們得出結論,CNNIC頒發不受約束的中級證書給公司的行為在 PKI 行為中是沒有先例的,並且在私鑰被儲存或控制方面毫無監督對 Mozilla 的 CA 證書執法政策來說,這種行為是“極其嚴重的錯誤行為”。所以,在公開討論和考慮到範圍和影響的一系列選項之後我們決定更新代碼,Mozilla的產品將不會信任 CNNIC 的根證書在2015年四月1日及以後頒發的任何證書。我們把這次事件以及我們是如何達成決定的更多細節集合在一起寫成了一個更長的文檔。
如果 CNNIC 願意的話,可以重新申請 Mozilla 跟儲存接受全部證書並且移除這種限制,在充分完成Mozilla 社區可能對這次事件的額外需求之後加入到Mozilla 的包括流程中去。這將會在 mozilla.dev.security.policy 論壇討論。
那些CNNIC在之後加入的證書將會被審查。因此我們會向CNNIC索取一個當前有效的證書的完整列表並且公開之。在獲得了列表之後,一旦在互聯網上被我們或者其他任何人發現有證書在2015年4月1日之前卻沒有在列表當中,我們保留採取進一步措施的權利。
我們相信這個答復與 Mozilla 政策是一致的並且適用於於其他任何相同處境的 CA 。
Mozilla 安全團隊
題外話,截止到目前為止,貌似CNNIC根本無視掉了Mozilla的聲明,看來是根本瞧不起人家啊~
-。=
本文由 落格博客 原創撰寫:落格博客 » 火狐:不再信任新的 CNNIC 證書
轉載請保留出處和原文鏈接:https://www.logcg.com/archives/874.html
