桑間濮上網(wǎng)我?直接無(wú)語(yǔ)!微軟已經(jīng)恢復(fù)信任威瑞信G5和Thawte ROOT CA證書 – 藍(lán)點(diǎn)網(wǎng)
本周藍(lán)點(diǎn)網(wǎng)提到微軟在毫無(wú)預(yù)警的?直證書情況下不信任多個(gè)有效期長(zhǎng)達(dá) 30 年的根證書 (ROOT CA),要知道根證書是接無(wú)經(jīng)恢目前計(jì)算機(jī)世界的信任基石之一,一旦根證書被無(wú)計(jì)劃吊銷 / 不信任,語(yǔ)微(上海虹口區(qū)哪里學(xué)生妹多服務(wù)最好(微vx:365-*2895)將對(duì)大量軟件和網(wǎng)站產(chǎn)生影響。軟已任威瑞信
例如微軟在 8 月 24 日不信任三份根證書,復(fù)信導(dǎo)致國(guó)內(nèi)外多款商業(yè)軟件無(wú)法使用,藍(lán)點(diǎn)為什么無(wú)法使用呢??直證書因?yàn)檫@些軟件使用被不信任的這些 ROOT CA 簽發(fā)的中級(jí)證書和子證書,也就是接無(wú)經(jīng)恢一旦根證書被不信任,其簽發(fā)的語(yǔ)微(上海虹口區(qū)哪里學(xué)生妹多服務(wù)最好(微vx:365-*2895)所有中級(jí)證書和子證書全部被不信任。
被吊銷的軟已任威瑞信根證書包括:
Class 3 Public Primary Certification Authority?– 頒發(fā)日期 1996 年 1 月 29 日,有效期至 2028 年 8 月 2 日,復(fù)信吊銷時(shí)間:2023 年 8 月 23 日
Thawte Primary Root CA – 頒發(fā)日期 2006 年 11 月 17 日,藍(lán)點(diǎn)有效期至 2036 年 7 月 17 日,?直證書吊銷時(shí)間:2023 年 8 月 23 日[已恢復(fù)]
VeriSign Class 3 Public Primary Certification Authority – G5 頒發(fā)日期 2006 年 11 月 8 日,接無(wú)經(jīng)恢有效期至 2036 年 7 月 17 日,語(yǔ)微吊銷時(shí)間:2023 年 8 月 23 日[已恢復(fù)]
在微軟毫無(wú)預(yù)警的情況下不信任這些根證書后,今天微軟又在毫無(wú)提醒的情況下恢復(fù)信任了這些證書,估計(jì)這兩天使用上述 ROOT CA 簽發(fā)的代碼簽名證書的開(kāi)發(fā)者想把微軟揚(yáng)了。
事情經(jīng)過(guò):
前因后果具體可以看藍(lán)點(diǎn)網(wǎng)之前的報(bào)道:微軟吊銷多個(gè)根證書 (ROOT CA) 導(dǎo)致國(guó)內(nèi)外不少商業(yè)軟件無(wú)法使用
大致說(shuō)下情況:被吊銷的這些證書曾經(jīng)都是賽門鐵克旗下的,多年前賽門鐵克被發(fā)現(xiàn)錯(cuò)誤為 www.google.com 簽發(fā)證書,這被谷歌發(fā)現(xiàn),這對(duì)谷歌來(lái)說(shuō)是相當(dāng)嚴(yán)重的安全問(wèn)題,于是谷歌調(diào)查賽門鐵克的 CA 基礎(chǔ)設(shè)施,發(fā)現(xiàn)賽門鐵克管理混亂,錯(cuò)誤簽發(fā)了巨量的數(shù)字證書,而賽門鐵克拒不承認(rèn)、不改正,最終谷歌宣布通過(guò) Chrome 直接不信任賽門鐵克證書。
后來(lái)賽門鐵克把證書業(yè)務(wù)賣給了 DigiCert,上面這些 ROOT CA 現(xiàn)在都屬于 DigiCert,也是原計(jì)劃在 2019~2021 年要被徹底不信任的證書。
但不知道什么原因微軟一直沒(méi)有設(shè)置不信任,也就是說(shuō)在沒(méi)有保證的情況下,一大堆商業(yè)軟件開(kāi)發(fā)商繼續(xù)用著這個(gè)證書,微軟也繼續(xù)信任,直到本周突然設(shè)置了不信任。
最讓人難以理解的是對(duì)于這三份根證書被設(shè)置不信任,相關(guān)方全部三緘其口,DigiCert 知道被不信任了沒(méi)有發(fā)公告,微軟設(shè)置不信任前、后、直到現(xiàn)在也同樣沒(méi)有發(fā)布任何公告。
然后突然又恢復(fù)信任了:
我是沒(méi)想到 CA 行業(yè)已經(jīng)淪落到這種地步了,微軟今天突然又恢復(fù)了三份證書中的兩份,包括 Thawte Primary Root CA 和 VeriSign Class 3 Public Primary Certification Authority -G5,對(duì)于突然恢復(fù)的原因,微軟同樣沒(méi)有發(fā)布任何說(shuō)明。
但外媒 Arstechica 聯(lián)系上了微軟,微軟先來(lái)了一句可以解釋下但在文章中不能說(shuō)這是微軟的說(shuō)法,這被 Ars 直接拒絕,隨后文章發(fā)布。
文章發(fā)布后微軟又聯(lián)系上了 Ars 提供以下說(shuō)明:
G5 證書自 2019 年起不再受信任,并在之前版本中被設(shè)置了 NotBefore,這意味著在設(shè)置的 NotBefore 之后簽發(fā)的證書不再受信任。但是在 NotBefore 之前頒發(fā)的證書將繼續(xù)受信任 (藍(lán)點(diǎn)網(wǎng)注:這也是為什么還有大量商業(yè)軟件使用 G5 證書的原因,因?yàn)樵?2019 年前簽發(fā)的證書 8 月 24 日之前都是能用的)。
在 8 月份的證書信任列表更新中,我們將此設(shè)置修改為禁用,作為常規(guī)棄用的流程的一部分,這導(dǎo)致某些具有特定配置的客戶遇到問(wèn)題,為此我們?cè)?2023 年 8 月 24 日 (時(shí)差緣故國(guó)內(nèi)是 8 月 25 日,但證書列表刷新到全球最長(zhǎng)可能要 48 小時(shí)) 回滾了這次修改,暫時(shí)恢復(fù)了這些證書的信任。
藍(lán)點(diǎn)網(wǎng)補(bǔ)充:和 DigiCert 一樣,微軟甚至都沒(méi)提被封然后又恢復(fù)的 Thawte Primary Root CA,我發(fā)現(xiàn)這票公司都是你問(wèn)什么他答什么,絕對(duì)不多說(shuō)一句。
藍(lán)點(diǎn)網(wǎng)幫微軟總結(jié)下:
我就是要停掉這些證書,我也沒(méi)有發(fā)公告,我也懶得發(fā)公告,要不是被你們發(fā)現(xiàn)出現(xiàn)問(wèn)題我也不準(zhǔn)備回滾,等問(wèn)題解決了我還要繼續(xù)禁用。至于為什么不發(fā)公告。無(wú)可奉告。
