步Apple、Google和Mozilla後塵,微軟(Microsoft)決定取消信任來自中國的CA機構沃通(WoSign)和它的子公司StartCom。來自中國的證書頒發機構沃通(WoSign)和StartCom(編者注:據悉,StartCom已於2015年底被WoSign祕密收購)被微軟認定未能達到受信任根證書的標準。
微軟發現沃通、StartCom有不可接受的安全風險,如倒簽發SHA1證書、錯誤簽發證書、意外的證書吊銷、簽發有相同序號的不同證書、多次違反CA/Browser Forum基線要求。
因此,微軟決定循序漸進,不再信任沃通和StartCom證書有效起始日期晚於2017年9月26日的證書,這也就意味着當前已簽發的證書將仍然有效,直至證書過期。2017年9月後,Windows 10將不再信任任何來自於沃通和StartCom簽發的新證書。
微軟官方公告:https://blogs.technet.microsoft.com/mmpc/2017/08/08/microsoft-to-remove-wosign-and-startcom-certificates-in-windows-10/
