文章翻译自Mozilla博客原文。本人才疏学浅,疏漏之处在所难免如有错误欢迎留言斧正!
上周, Mozilla 注意到一个叫做 CNNIC 的证书机构颁发了一个不受约束的中级证书,这个证书随后就被接受者用来给并没有拥有域名或者控制权的域名颁发证书(比如说:中间人攻击)。我们把这个中级证书加入到了火狐直接吊销系统(OneCRL)的询问中,并且对此事展开了进一步的调查。
在审查了这种情况以及在我们的公开邮件列表中进行了一场热烈的讨论之后, 我们得出结论,CNNIC颁发不受约束的中级证书给公司的行为在 PKI 行为中是没有先例的,并且在私钥被储存或控制方面毫无监督对 Mozilla 的 CA 证书执法政策来说,这种行为是“极其严重的错误行为”。所以,在公开讨论和考虑到范围和影响的一系列选项之后我们决定更新代码,Mozilla的产品将不会信任 CNNIC 的根证书在2015年四月1日及以后颁发的任何证书。我们把这次事件以及我们是如何达成决定的更多细节集合在一起写成了一个更长的文档。
如果 CNNIC 愿意的话,可以重新申请 Mozilla 跟储存接受全部证书并且移除这种限制,在充分完成Mozilla 社区可能对这次事件的额外需求之后加入到Mozilla 的包括流程中去。这将会在 mozilla.dev.security.policy 论坛讨论。
那些CNNIC在之后加入的证书将会被审查。因此我们会向CNNIC索取一个当前有效的证书的完整列表并且公开之。在获得了列表之后,一旦在互联网上被我们或者其他任何人发现有证书在2015年4月1日之前却没有在列表当中,我们保留采取进一步措施的权利。
我们相信这个答复与 Mozilla 政策是一致的并且适用于于其他任何相同处境的 CA 。
Mozilla 安全团队
题外话,截止到目前为止,貌似CNNIC根本无视掉了Mozilla的声明,看来是根本瞧不起人家啊~
-。=
本文由 落格博客 原创撰写:落格博客 » 火狐:不再信任新的 CNNIC 证书
转载请保留出处和原文链接:https://www.logcg.com/archives/874.html