违规被浏览器列入黑名单的CA、SSL证书

这里包含许多被系统、Chrome等浏览器列入黑名单的CA、证书公钥等信息。

CA问题

WoSign/StartCom

详情:

  1. https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
  2. 老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
  3. 微软在Windows 10中删除WoSign和StartCom证书
  4. Apple 阻止对于 WoSign CA 免费 SSL 证书 G2 的信任

一系列违规签发行为导致8个相关CA证书被列入黑名单。

CNNIC

详情: https://security.googleblog.com/2015/03/maintaining-digital-certificate-security.html

因为一些违规安全事件(疑似中间人攻击行为)根证书被移除。

Comodo

详情:

  1. https://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
  2. https://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/
  3. https://technet.microsoft.com/en-us/library/security/2524375.aspx

合作伙伴问题导致签发了9张误导性的证书

DigiNotar

详情:

  1. https://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
  2. https://en.wikipedia.org/wiki/DigiNotar

CA系统被黑客入侵,导致CA破产,所有关联的公钥都被吊销。

India CCA

详情:

  1. https://googleonlinesecurity.blogspot.com/2014/07/maintaining-digital-certificate-security.html
  2. https://technet.microsoft.com/en-us/library/security/2982792.aspx

撤销部分子CA,并且只有小部分颁发给印度的域名被认为可信。

Trustwave

详情:

  1. https://www.trustwave.com/Resources/SpiderLabs-Blog/Clarifying-The-Trustwave-CA-Policy-Update/
  2. https://bugzilla.mozilla.org/show_bug.cgi?id=724929

一张Trustwave颁发的用于企业内部实行中间人攻击(MITM)来做企业内部数据保护(DLP),号称放在符合 FIPS-140-2 Level 3的HSM设备中。

TurkTrust

详情:

  1. https://googleonlinesecurity.blogspot.com/2013/01/enhancing-digital-certificate-security.html
  2. https://web.archive.org/web/20130326152502/http://turktrust.com.tr/kamuoyu-aciklamasi.2.html

软件配置问题,两个证书出现了错误的basicConstraints这会导致被用来签发额外的证书,将其吊销。

私钥泄漏

Cyberoam

详情: https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372

设备制造商 Cyberoam 为所有的设备使用了相同的私钥,这个私钥可以被下载。

Dell

详情:

  1. http://www.dell.com/support/article/us/en/19/SLN300321
  2. http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

eDellRoot 和DSDTestProvider 被安装的根的私钥可以被提取,这将导致安装了这个根的Dell设备上出现证书信任威胁。

sslip.io

For details, see https://blog.pivotal.io/labs/labs/sslip-io-a-valid-ssl-certificate-for-every-ip-address

一个Comodo的用户,获得了一张*.sslip.io的通配符证书,并公布了私钥,为开发人员提供SSL测试。比如 192-168-0-1.sslip.io会被自动解析到192.168.0.1,你只需要在测试服务器上部署这张通配符就可以获得一个没有SSL警告的测试环境(想法挺不错的,👍)。

因为私钥可以用来拦截所有通讯,所以吊销了这个公钥。

xs4all.nl

For details, see https://raymii.org/s/blog/How_I_got_a_valid_SSL_certificate_for_my_ISPs_main_website.html

xs4all 的用户可以注册一个保留的邮件地址,如:administrator@xs4all.nl可以用于签发xs4ll.nl的SSL证书。并且这符合CA/Browser Forum's的要求。申请的这张证书私钥已经被公开。

其他

DigiCert

详情:

  1. https://bugzilla.mozilla.org/show_bug.cgi?id=1242758
  2. https://bugzilla.mozilla.org/show_bug.cgi?id=1224104

DigiCert 退休了两个中级证书,被列入黑名单。

Hacking Team

两个黑客私钥,用来威胁用户。

live.fi

详情:https://technet.microsoft.com/en-us/library/security/3046310.aspx

又是一个可以通过注册一个保留的邮件地址颁发证书的案例。

SECOM

详情:https://bugzilla.mozilla.org/show_bug.cgi?id=1188582

SECOM中级退役。

Symantec

详情:https://bugzilla.mozilla.org/show_bug.cgi?id=966060>

退役的CA证书,主动请求加入到黑名单。

T-Systems

详情:https://bugzilla.mozilla.org/show_bug.cgi?id=1076940

退役的CA证书,主动请求加入到黑名单。