奇虎360旗下StartCom宣布:将停止数字证书业务
近日,奇虎360旗下的数字证书颁发机构StartCom正式宣布,将停止数字证书业务,并吊销现有的根数字证书!
一、StartCom和奇虎360的渊源简析
据悉,最开始的时候,数字证书颁发机构StartCom原本只是为奇虎360旗下的沃通电子认证服务有限公司提供中级证书,同时也帮助沃通建立PKI设施和指导通过国际安全审计。
但后来,一个自称是StartCom前雇员的人士透露,沃通在2015年11月时就秘密收购了StartCom,并将其中的一部分PKI设施迁移到了奇虎360的主机上。
而对于这样的披露,沃通CEO王高华非常的愤怒,声称这位前雇员违反了NDA保密协议,威胁采取法律行动。
同时,由于牵涉到安全问题,360的秘密收购的做法在行业里引起了轩然大波,不过王高华表示,沃通是一家私人公司,没有任何责任披露它想披露的信息,StartCom和沃通是两家独立的公司,一家在以色列注册,一家在中国注册,两家公司之间有长期业务往来,仅此而已。
二、沃通公司被指故意签发违规数字证书
今年8月,微软在其博客中发布文章称,来自中国的数字证书颁发机构沃通及其子公司StartCom未能达到受信根目录的标准,称沃通被发现存在故意倒填时间违规签发SHA-1 证书、以及和安全审计方面的原因签发错误证书等诸多问题。
同时,沃通和其控股公司奇虎360此前秘密收购了StartCom,因此微软对于沃通的惩罚同样也适用于StartCom公司。
其后,谷歌和苹果公司以及Mozilla也纷纷宣布,取消对沃通的信任,截至目前,沃通以及StartCom的证书均被主流操作系统和浏览器所屏蔽。
就目前的这种发展形势来看,360好像已经没有多大的必要再去运作StartCom的业务了,这项秘密收购案似乎已经完全变得得不偿失了,毕竟被秘密收购后,其整体口碑已经差强人意了。
三、360突然宣布停止StartCom的业务
目前,沃通公司的数字签名已由波兰的证书颁发机构提供,该公司已宣布将变更英文名称和LOGO标识等
奇虎360方面称,将会于2018年1月1日起正式停止StartCom继续签发证书的业务,未来两年里也会将现存的这些根证书直接吊销!