На блоге уже поднимали тему прекращения доверия к сертификатам WoSign и StartCom. Для многих это не очень хорошая новость, так как бесплатные сертификаты от китайцев выглядели весьма и весьма привлекательно.
Чтобы понять суть конфликта и смысл претензий рекомендуем сначала прочитать статью:
https://geektimes.ru/post/281188/А теперь коротко и по пунктам, в чем таки провинились китайцы:
- Уязвимость, позволяющая владельцу поддомена получить сертификат на весь домен.
- После проверки основного домена, остальные можно было добавить в мультидоменный сертификат без всяких проверок.
Остальное на этом фоне - мелочи, такие как выпуск SHA-сертификатов задним числом, чтобы продлить срок их действия, тем более регламентами это не запрещено.
Второй косяк вышел с приобретенным "по-тихому" StartCom, их сервис автоматической выдачи сертификатов содержал две серьезных уязвимости:
- Для подтверждения владения доменом проверочный файл можно было разместить где угодно и получить сертификат для этого домена. Т.е. залили на Дропбокс - получили сертификат для Дропбокса.
- Дырка в OAuth 2.0 позволяла получить сертификат для любого сайта его использующего.
Как видно из этих примеров, никакой политики или сговоров в данном решении нет, а есть вопиющее техническое раздолбайство со стороны китайских товарищей, поэтому решение о прекращении доверия к сертификатам этих CA выглядит вполне обосновано. В тоже время китайцы имеют все возможности устранить все уязвимости, пройти аудит и продолжить работу выпустив новые корневые сертификаты, к которым снова будет доверие.