微软将撤销20个证书因可能严重破坏网站
成千上万的安全网站数万可能开始显示证书错误,他们在一月份的游客,当微软计划停止信任来自世界各地的20证书颁发机构(CA)。
该计划从微软的受信任的根证书计划中删除属于CA的私有或国有企业来自美国,法国,捷克,日本,丹麦,智利,土耳其,卢森堡,爱尔兰,斯洛文尼亚运行证书列表和巴西。
来自微软的计划他们搬迁,中科院还将从每次使用的浏览器,如谷歌Chrome,Internet Explorer和Microsoft的边缘,以及通过电子邮件客户端,并支持通过SSL安全通信的应用程序的证书信任列表在Windows中删除/ TLS。
因此,去除CA的从Microsoft受信任的根证书课程证书将从根本上渲染链回到它的不信任所有证书。这不适只是SSL / TLS证书,同时也被用于验证软件程序已经发布了合法的开发商并没有被修改后的代码签名证书。
微软将删除20的CA,因为他们要么自愿选择离开root程序,或者是因为他们没有遵守这一发表在六月更严格的技术和审计要求,说阿龙科恩布卢姆,项目经理治理,风险管理和合规性微软的企业与安全组,在博客周四。
目前尚不清楚有多少20个组织的决定退休的CA的心甘情愿,但他们中的一些人不知道他们的证书已被标记为清除,直到上周四。
“我们没有从微软有关从MTRCP程序删除我们的CA的任何信息,”米罗斯拉夫Trávníček,在PostSignum项目经理,由国有捷克邮政经营的CA说。 “我们有一个审核有效期至2016年12月,这是由微软证实,”他通过电子邮件说。
PostSignum提供数字证书的网站,电子邮件加密和公共机构进行沟通所需的电子签名。它是预定要被删除的CA微软的列表。
Certigna,总部设在法国拥有超过7,000家客户一个CA,了解了拆除计划上周四微软发布了公告,根据阿诺•杜波依斯,Dhimyotis,CA的母公司的首席执行官。
这是因为一些改变并没有被考虑到了合同,但应日或下周初是固定的,杜波依斯说。
雅尼克Leplard,研究和开发Dhimyotis主任解释说,该公司应该签订微软在六月承诺尊重了一些的CA已经遵循良好做法的新合同。
“我们已经检查,似乎我们只收到了合同草案,并因此微软一直没有离我们真正的合同,”他说。 “我们有一个标有合同”仅适用于评审,“所以我们签署了草案。”
属于DanID,由丹麦公司篮网运营的CA根证书,也被列入拆除。篮网运行NemID,一个硬件认证系统广泛应用在丹麦的网上银行,政府网站以及由私人公司运营的服务。
篮网没有立即回应记者的置评请求。也没有Serasa Experian的,领先的信用局在巴西,还是美国的金融服务公司富国银行,这两者都被判拆除多根证书。
Post.Trust,微软计划不可信爱尔兰CA,已经在其网站上的通知,通知客户,该公司已经停止发行SSL证书。这可能是CA的自愿退出该项目中的一个。
在其声明中,公司表示,“通过Post.Trust签发SSL证书仍然有效,直至期满。”虽然在技术上这是真的,一旦微软删除了根证书,用户将开始在尝试访问使用Post.Trust颁发的证书的网站,看到错误。也是如此对于连锁回任何可信CA证书。
“如果你使用这些证书中的一个安全连接到服务器通过HTTPS,当客户试图浏览到您的网站,客户会看到一则消息,有一个与安全证书有问题,”科恩布卢姆说。 “如果使用这些证书之一签署的软件,当客户试图安装在Windows操作系统软件,Windows将会显示一个警告,发布者可能不被信任的。在这两种情况下,客户可以选择继续。 “
尽管用户可以绕过安全警告,并添加到例外在其浏览器的选项,很可能是许多人不会。 Microsoft建议证书的拥有者从其他供应商联系到即将被移除的根获得替代他们。然而,他们可能要首先与他们目前的CA并询问他们是否有任何计划来解决这个问题。
在一份电子邮件声明中,微软的一名代表澄清说,这一行动是不相关的逐步淘汰SHA-1签名证书的行业工作,即使被判拆除所有的根证书有SHA-1签名。
代表说,有问题的根CA被删除,因为他们不能够遵守微软使用,以确保其业务的安全性和达到行业标准审核要求。该公司开始与运营CA的有关程序改变几个月前,给他们足够的时间来履行组织谈话。
苏公网安备32032202000432