封鎖對 WoSign CA Free SSL Certificate G2 的信任
憑證授權單位 WoSign 在其 WoSign CA Free SSL Certificate G2 中繼 CA 發證程序中,遭遇多次控制失敗。雖然 Apple 受信任根列表中沒有 WoSign 根,但此中繼 CA 已利用與 StartCom 和 Comodo 的交叉簽署憑證關係,在 Apple 產品上建立信任。
有鑒於這些發現,我們在安全性更新中採取了行動來保護使用者。Apple 產品不再信任 WoSign CA Free SSL Certificate G2 中繼 CA。
為了避免對現有 WoSign 憑證持有者造成干擾,並且讓他們能夠轉換至受信任根,Apple 產品在 2016 年 9 月 19 日前,信任由此中繼 CA 發行並發佈至公用憑證透明度記錄伺服器的個別現有憑證。這些憑證將會受信任至其到期、撤銷,或 Apple 決定取消信任。
隨著調查工作的進行,我們將會依需要,針對 Apple 產品中的 WoSign/StartCom 信任錨採取進一步行動。
WoSign 的詳細步驟
進一步調查之後,我們認定 WoSign 憑證授權單位(CA)在運作時除了遭遇多次控制失敗之外,WoSign 並未揭露取得 StartCom。
我們將會在未來的安全性更新中,採取行動來保護使用者。如果「不早於」日期在 2016 年 12 月 1 日 00:00:00 GMT/UTC 或之後,Apple 產品將阻擋來自 WoSign 和 StartCom 根 CA 的憑證。
關於信任和憑證
下列每個 watchOS 信任憑證庫包含三類憑證:
- 受信任憑證建立一連串的信任,其驗證其他由受信任根所簽署的憑證,例如用以建立對網頁伺服器的安全連線。IT 管理者為 watchOS 建立設定描述檔時,不需要納入這些受信任根憑證。
- 「永遠先詢問」憑證未受信任但也不會遭到封鎖。
- 系統將「已封鎖」憑證認定為遭盜用,而且絕對不會予以信任。