违规被浏览器列入黑名单的CA、SSL证书
这里包含许多被系统、Chrome等浏览器列入黑名单的CA、证书公钥等信息。
CA问题
WoSign/StartCom
详情:
- https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
- 老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
- 微软在Windows 10中删除WoSign和StartCom证书
- Apple 阻止对于 WoSign CA 免费 SSL 证书 G2 的信任
一系列违规签发行为导致8个相关CA证书被列入黑名单。
CNNIC
详情: https://security.googleblog.com/2015/03/maintaining-digital-certificate-security.html
因为一些违规安全事件(疑似中间人攻击行为)根证书被移除。
Comodo
详情:
- https://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
- https://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/
- https://technet.microsoft.com/en-us/library/security/2524375.aspx
合作伙伴问题导致签发了9张误导性的证书
DigiNotar
详情:
- https://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
- https://en.wikipedia.org/wiki/DigiNotar
CA系统被黑客入侵,导致CA破产,所有关联的公钥都被吊销。
India CCA
详情:
- https://googleonlinesecurity.blogspot.com/2014/07/maintaining-digital-certificate-security.html
- https://technet.microsoft.com/en-us/library/security/2982792.aspx
撤销部分子CA,并且只有小部分颁发给印度的域名被认为可信。
Trustwave
详情:
- https://www.trustwave.com/Resources/SpiderLabs-Blog/Clarifying-The-Trustwave-CA-Policy-Update/
- https://bugzilla.mozilla.org/show_bug.cgi?id=724929
一张Trustwave颁发的用于企业内部实行中间人攻击(MITM)来做企业内部数据保护(DLP),号称放在符合 FIPS-140-2 Level 3的HSM设备中。
TurkTrust
详情:
- https://googleonlinesecurity.blogspot.com/2013/01/enhancing-digital-certificate-security.html
- https://web.archive.org/web/20130326152502/http://turktrust.com.tr/kamuoyu-aciklamasi.2.html
软件配置问题,两个证书出现了错误的basicConstraints这会导致被用来签发额外的证书,将其吊销。
私钥泄漏
Cyberoam
详情: https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372
设备制造商 Cyberoam 为所有的设备使用了相同的私钥,这个私钥可以被下载。
Dell
详情:
- http://www.dell.com/support/article/us/en/19/SLN300321
- http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
eDellRoot 和DSDTestProvider 被安装的根的私钥可以被提取,这将导致安装了这个根的Dell设备上出现证书信任威胁。
sslip.io
For details, see https://blog.pivotal.io/labs/labs/sslip-io-a-valid-ssl-certificate-for-every-ip-address
一个Comodo的用户,获得了一张*.sslip.io
的通配符证书,并公布了私钥,为开发人员提供SSL测试。比如 192-168-0-1.sslip.io
会被自动解析到192.168.0.1
,你只需要在测试服务器上部署这张通配符就可以获得一个没有SSL警告的测试环境(想法挺不错的,👍)。
因为私钥可以用来拦截所有通讯,所以吊销了这个公钥。
xs4all.nl
For details, see https://raymii.org/s/blog/How_I_got_a_valid_SSL_certificate_for_my_ISPs_main_website.html
xs4all 的用户可以注册一个保留的邮件地址,如:administrator@xs4all.nl可以用于签发xs4ll.nl的SSL证书。并且这符合CA/Browser Forum's的要求。申请的这张证书私钥已经被公开。
其他
DigiCert
详情:
- https://bugzilla.mozilla.org/show_bug.cgi?id=1242758
- https://bugzilla.mozilla.org/show_bug.cgi?id=1224104
DigiCert 退休了两个中级证书,被列入黑名单。
Hacking Team
两个黑客私钥,用来威胁用户。
live.fi
详情:https://technet.microsoft.com/en-us/library/security/3046310.aspx
又是一个可以通过注册一个保留的邮件地址颁发证书的案例。
SECOM
详情:https://bugzilla.mozilla.org/show_bug.cgi?id=1188582
SECOM中级退役。
Symantec
详情:https://bugzilla.mozilla.org/show_bug.cgi?id=966060>
退役的CA证书,主动请求加入到黑名单。
T-Systems
详情:https://bugzilla.mozilla.org/show_bug.cgi?id=1076940
退役的CA证书,主动请求加入到黑名单。