日前 Mozilla 发表报告指,为了继续提供不安全的 SHA-1 加密,中国凭证机构 WoSign 伪造凭证的发行日期;此外 WoSign 被指收购同行 StartCom 时没有披露拥有权变更,违反 Mozilla 政策,Mozilla 旗下产品因此准备不会信任 WoSign 新发的凭证最少一年。报告又指,为 WoSign 核数的安永香港(EY)未有察觉问题。
浏览网站时如果要输入敏感资料,应尽量使用有 HTTPS 加密连线的网站。但由于 HTTPS 认证程序繁琐,又耗费不少金钱和时间,并不是所有网站均采用。去年由 Electronic Frontier Foundation 与 Google,Microsoft,Apple 和 Mozilla 共同组成的 HTTPS 认证组织 Let's Encrypt 终于宣布已发出首张数码证书,并展开免费测试计划,期望在未来推动全球网站采用 HTTPS 加密连线。