startcom

Mozilla公布了对沃通CA不当行为的13页调查报告，正式提议将停止信任WoSign和StartCom签发的新证书，最短期限为一年，一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。调查报告称，沃通CA存在的部分问题不严重或不是它的过错，但还有部分问题极其严重，从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对SHA-1证书的限制。 由于SHA-1签名证书不再安全，主要浏览器开发商要求所有CA在2016年1月1日之后停止签发SHA-1证书，然而沃通CA在2016年1月1日之后仍然签发了SHA-1证书，通过故意倒填日期，将这些证书伪装成是在2016年前签发的

GitHub安全团队称沃通在没有得到他们授权的情况下签发了一个GitHub的证书。这促使GitHub安全团队和Mozilla合作对沃通进行了调查，发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制（即对SHA-1 签名证书的失效计划）和对CA的要求

日前 Mozilla 发表报告指，为了继续提供不安全的 SHA-1 加密，中国凭证机构 WoSign 伪造凭证的发行日期；此外 WoSign 被指收购同行 StartCom 时没有披露拥有权变更，违反 Mozilla 政策，Mozilla 旗下产品因此准备不会信任 WoSign 新发的凭证最少一年。报告又指，为 WoSign 核数的安永香港（EY）未有察觉问题。 浏览网站时如果要输入敏感资料，应尽量使用有 HTTPS 加密连线的网站