论坛 › 讨论区 › 违规被浏览器列入黑名单的CA、SSL证书

3wthx 发表于 2020-5-15 07:56:04

违规被浏览器列入黑名单的CA、SSL证书

本帖最后由 3wthx 于 2020-5-15 12:10 编辑

这里包含许多被系统、Chrome等浏览器列入黑名单的CA、证书公钥等信息。

CA问题

WoSign/StartCom

详情：

[*]https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
[*]老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
[*]微软在Windows 10中删除WoSign和StartCom证书
[*]Apple 阻止对于 WoSign CA 免费 SSL 证书 G2 的信任
一系列违规签发行为导致8个相关CA证书被列入黑名单。

CNNIC

详情： https://security.googleblog.com/2015/03/maintaining-digital-certificate-security.html
因为一些违规安全事件（疑似中间人攻击行为）根证书被移除。

Comodo

详情：

[*]https://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
[*]https://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/
[*]https://technet.microsoft.com/en-us/library/security/2524375.aspx
合作伙伴问题导致签发了9张误导性的证书

DigiNotar

详情：

[*]https://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
[*]https://en.wikipedia.org/wiki/DigiNotar
CA系统被黑客入侵，导致CA破产，所有关联的公钥都被吊销。

India CCA

详情：

[*]https://googleonlinesecurity.blogspot.com/2014/07/maintaining-digital-certificate-security.html
[*]https://technet.microsoft.com/en-us/library/security/2982792.aspx
撤销部分子CA，并且只有小部分颁发给印度的域名被认为可信。

Trustwave

详情：

[*]https://www.trustwave.com/Resources/SpiderLabs-Blog/Clarifying-The-Trustwave-CA-Policy-Update/
[*]https://bugzilla.mozilla.org/show_bug.cgi?id=724929
一张Trustwave颁发的用于企业内部实行中间人攻击(MITM)来做企业内部数据保护(DLP)，号称放在符合 FIPS-140-2 Level 3的HSM设备中。

TurkTrust

详情：

[*]https://googleonlinesecurity.blogspot.com/2013/01/enhancing-digital-certificate-security.html
[*]https://web.archive.org/web/20130326152502/http://turktrust.com.tr/kamuoyu-aciklamasi.2.html
软件配置问题，两个证书出现了错误的basicConstraints这会导致被用来签发额外的证书，将其吊销。

私钥泄漏

Cyberoam

详情：https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372
设备制造商 Cyberoam 为所有的设备使用了相同的私钥，这个私钥可以被下载。

Dell

详情：

[*]http://www.dell.com/support/article/us/en/19/SLN300321
[*]http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
eDellRoot 和DSDTestProvider 被安装的根的私钥可以被提取，这将导致安装了这个根的Dell设备上出现证书信任威胁。

3wthx 发表于 2020-5-15 08:02:47

本帖最后由 3wthx 于 2020-5-15 08:07 编辑

补充请看3楼

3wthx 发表于 2020-5-15 08:04:14

本帖最后由 3wthx 于 2020-5-29 19:37 编辑

补充
https://s1.ax1x.com/2020/05/15/YrpZad.png
上面有一处不清楚。我写在下面：

Symantec
详情：https://bugzilla.mozilla.org/show_bug.cgi?id=966060
退役的CA证书，主动请求加入到黑名单。

3wthx 发表于 2020-5-15 10:38:52

顶顶https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif

admin 发表于 2020-5-15 11:13:23

我们用的就是comodo

3wthx 发表于 2020-5-15 12:11:44

本帖最后由 3wthx 于 2020-5-15 12:12 编辑

admin 发表于 2020-5-15 11:13
我们用的就是comodo
如果证书不在那9张误导性的证书的没事https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif

admin 发表于 2021-11-20 16:39:56

诶，这个不是在 blog.myssl.com 上的吗

查看完整版本: 违规被浏览器列入黑名单的CA、SSL证书