数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在互联网上验证通信实体身份的方式。它由权威机构——CA认证服务机构,又称证书授权(Certificate Authority)中心签发,人们可以在网上用它来识别对方的身份。
StartCom就是CA认证服务机构中的其中一家。近日,StartCom公司发布了一份声明,正式宣布将于今年年底停止签发新证书,并会在2020年彻底终止证书签发业务。
究其原因,可能来自于去年的一次事件。Mozilla在去年公布了对沃通(WoSign)CA不当行为的13页调查报告,正式提议将停止信任沃通签发的新证书,最短期限为一年。
看上去似乎这和StartCom并没有什么关系,但在Mozilla的提议里,StartCom同样上了黑名单。这是因为Mozilla有充足的证据证明沃通CA已经100%收购StartCom CA。虽然,StartCom公司CEO王高华一直拒绝承认,直到最后沃通的母公司奇虎360现身。
即使这样,王高华在当时也没有直接选“妥协”,他坚称StartCom仍然是独立运营,其原始系统并没有发生改变。不过,Mozilla在之后给出了充分的技术证据证明,证明StartCom在被沃通收购一个半月后就已经开始使用沃通的基础设施签发证书。
StartCom在声明中表示:“大约一年前,大多数浏览器制造商决定不再信任StartCom,将StartCom CA证书从其根存储中删除,并且不再接受由StartCom签发的新证书。尽管StartCom在这段时间内做出了努力,但迄今为止,这些制造商并没有透露出愿意重新接受StartCom CA证书的迹象。因此,StartCom决定将终止证书签发业务。”
遭到不信任的CA认证服务机构并不只有StartCom和沃通并。今年3月,谷歌和火狐调查发现赛门铁克(Symantec)未经授权错误签发大量SSL证书的严重问题。7月28日,谷歌正式宣布不再信任赛门铁克旗下所有SSL证书GeoTrust、Thawte和Rapid SSL等子品牌也受到同样惩罚。