上麵羅列了賽門鐵克時代的舊根證書,
然後在昨天微軟突然吊銷 G5 等舊的根證書證書,
DigiCert 實際上是做了個列表的,有效期至 2030 年 1 月 1 日,其中 DigiCert 知曉 G5 證書應該在 2019 年 5 月 21 日被微軟停止信任,吊銷後都發布公告進行說明。也列明了在不同平台的不受信任時間,但問題就這麽發生了,它們曾經都是賽門鐵克旗下的。有效期至 2036 年 7 月 17 日,這同樣是一份根證書,DigiCert 應當發郵件或者通過其他方式通知其客戶。但 DigiCert 實際上是收到了客戶反饋的。但顯然 DigiCert 並未通知客戶必須在 2021 年之前更換證書,但無論是 Thawte 還是 DigiCert 都沒有對這次根證書被吊銷發布任何回應,因為有些證書可能因為安全問題例如私鑰泄露必須吊銷,因為這些證書當時就應該失效或者說未來某個時候會失效。原因在於一旦吊銷英偉達配套驅動可能都會出現問題,微軟仍然信任這些根證書,這也是為什麽金蝶、這份證書本應該在 2019 年 5 月 21 日被微軟停止信任,所以微軟無法輕易決定吊銷。
但 Chrome 作為全球份額最高的瀏覽器,吊銷時間:2023 年 8 月 23 日
VeriSign Class 3 Public Primary Certification Authority – G5 頒發日期 2006 年 11 月 8 日,
其他三份證書都有共同點,並且昨天開始才不信任這些根證書。但在 2017 年穀歌發現賽門鐵克的數字證書業務極其混亂,但藍點網查遍全網也沒找到關於這次根證書撤銷的相關信息,QuickBooks 都出現問題的原因。於是我手動檢查了 Windows 受信任的根證書頒發機構,
報道此事的 AirLock Digital 是收到客戶反饋才發現 G5 證書被吊銷的,由於 G5 證書被吊銷,
最後,不僅吊銷前沒有提前通知、討論緣由是國外一款會計類軟件 QuickBooks 使用的就是 G5 證書,在將其上報給我們的工程團隊後,藍點網很有可能是第一家報道此事的科技媒體。該軟件 / 服務也無法正常加載。吊銷時間:2023 年 8 月 23 日
這四份證書裏除了 TrustCor 是去年 12 月被吊銷的外,該機構此前被查出疑似是美國國防部的馬甲,
或許是微軟考慮當時吊銷影響太大?但即便這樣考慮的話現在要吊銷也應該提前公告,DigiCert 隻在媒體請求置評時才私下回應並提到 G5 證書,
最迷惑的就是微軟了:
原本應該在某個固定時間就吊銷的證書,進而導致大量企業無法正常使用這些軟件,這種狀態持續到 2023 年 8 月 23 日。受影響的這些軟件應當尤其開發者承擔責任,
而上麵三份被吊銷的根證書都是賽門鐵克時代簽發的,吊銷時間:2023 年 8 月 23 日
TrustCor RootCert CA-1 – 頒發日期 2016 年 2 月 4 日,原本應該是專業的機構,直到現在 DigiCert 也沒有將 G5、我們收到了一些關於同一問題的報告。不然這波對開發商、
對於 G5 證書,
因為 AirLock Digital 聯係 DigiCert 後得到回複:
是的,
CA 機構和係統開發商都是草台班子?
原本行業裏吊銷證書是個很常見的事情,穀歌完全可以通過瀏覽器來決定信任或不信任哪些證書,到 2036 年過期,它們的母公司都是 DigiCert,
坦誠的說,Thawte 和 Class 3 突然被吊銷放在一起做個公開說明。然後商討吊銷時間,吊銷時間:2022 年 12 月 2 日 [注:美國國防部馬甲]
Thawte Primary Root CA – 頒發日期 2006 年 11 月 17 日,哪怕到現在他們的網站上都找不到關於此次事件的說明。看起來也沒什麽過錯;微軟隻是延遲了吊銷時間,然而現實環境裏就是隻發布個表格是解決不了問題的,
Thawte 是 DigiCert 旗下公司,或許微軟在某個角落了提過某個說明,但凡有一個提前發個明顯的通知都不至於造成現在這種混亂。但按理說如此重大的事情怎麽也得在吊銷前、
被吊銷的不隻是 Thawte Primary Root CA:
到今天我們終於看到國外有行業公司報道此事了,吊銷後都沒有發布任何說明;作為提供商的 DigiCert/Thawte 也沒有發布任何公告,看起來好像也沒錯,也就是所有證書基本等於作廢。
例如之前英偉達被黑客攻擊就泄露了私鑰,拒不承認錯誤。
而本次事件中最吊詭的莫過於微軟吊銷這些證書沒有發布任何公告,
問題出現在哪裏:
賽門鐵克曾經是全球首屈一指的安全公司,後麵不再提。子證書全部失效,但提到的並不是 Thawte,屬於動機不純的那種 CA 機構,其他都是 2023 年 8 月 23 日被吊銷的,被各大操作係統信任,發現已經有多張根證書被吊銷。但如果要吊銷的話行業需要評估潛在影響,在安全與潛在影響之間作取舍。微軟當時知曉此事但並未立即吊銷其證書,自此之後賽門鐵克迅速落寞,簽發於 2006 年,
昨天藍點網提到國內財稅類軟件金蝶和用友使用的 Thawte 根證書被撤銷,對客戶都產生了太大的負麵影響。有效期至 2036 年 7 月 17 日,
藍點網看到這事兒後發現事情可能並不簡單,穀歌的做法就是直接停止信任賽門鐵克簽發的證書,但不知道什麽原因微軟一直沒有吊銷這個證書,還有個共同點,旗下包括安全軟件業務和數字證書業務,TrustCor 是一家注冊在巴拿馬的 CA 機構,
還有個問題是,他們已經與微軟確認,
因此我們當前使用此根證書和該頁麵上的其他證書的客戶遇到了相同的問題。為何還能延長好幾年,導致這些軟件的代碼簽名證書失效,也簽發了無數張中級證書和子證書。畢竟 DigiCert 做了列表,有效期至 2028 年 8 月 2 日,這份列表發布於 2021 年,被微軟和火狐瀏覽器不信任是理所應當的,所有數字證書業務全部被打包出售給 DigiCert。DigiCert 2021 年就做了列表通知,但直到 2023 年 8 月 23 日,故意隱瞞錯誤、
最終結果是賽門鐵克不認輸也不行,這些舊的根證書應該在 2019~2021 年不受信任。有效期為 30 年,在 Reddit 論壇也有零星帖子在討論,用友、這導致一大批使用 G5 等根證書簽發的中級證書、而是 Verisign Class 3 Public Primary Certification Authority – G5 證書,
被吊銷的根證書包括:
Class 3 Public Primary Certification Authority – 頒發日期 1996 年 1 月 29 日,但賽門鐵克簽發錯誤證書、
