HTTPS 的加密協議主要依賴數字證書認證機構(CA)所頒發的 CA 憑證,若然 CA 憑證本身不夠安全,那麼加密傳輸就有可能會被竊取。比如 Mozilla 早前就發現來自中國 WoSign(沃通)的憑證出現了一系列問題,並已從信賴名單中剔除,至於今日則終於輪到 Apple 加入這個行列,並宣佈 iOS 及 macOS 都會封鎖 WoSign 憑證。
在 Apple 今次發表的聲明中,他們表示由於中國憑證機構 WoSign 所發行的所有「Free SSL Certificate G2 intermediate CA」中間憑證都出現了管控上的問題,所以目前已決定將之剔除出 iOS 及 macOS 的信賴名單。雖然過去 WoSign 並未有出現在 Apple 的憑證信賴名單,但由於他們透過 StartCom 及 Comodo 去發行相關憑證,所以 Apple 最終仍決定不再信賴 WoSign 中間憑證。
Apple 表示相關改動將會於下一次安全更新中執行,但為避免影響到現有 WoSign 憑證的持有人,因此今年 9 月 19 日之前發行的 WoSign 憑證暫時不會受到影響,並允許持有人過渡到其他可信賴憑證。至於今次事件起因,主要是由於 Mozilla 發現 WoSign 隱瞞收購了 StartCom,而後者更暗地裡使用 WoSign 憑證及故意竄改憑證的頒發日期,而更麻煩的是憑證可以從任意端口進行驗證,以及控制一個子域名時竟然可獲得根域名憑證。
來源:The Register