昨天藍(lán)點(diǎn)網(wǎng)提到國(guó)內(nèi)財(cái)稅類軟件金蝶和用友使用的微軟無(wú)法網(wǎng) Thawte 根證書(shū)被撤銷(xiāo)，導(dǎo)致這些軟件的吊銷(xiāo)多個(gè)A導(dǎo)代碼簽名證書(shū)失效，進(jìn)而導(dǎo)致大量企業(yè)無(wú)法正常使用這些軟件，根證濟(jì)南高端美女上門(mén)外圍上門(mén)外圍女（電話微信181-8279-1445）提供全球及一二線城市兼職美女上門(mén)外圍上門(mén)外圍女但藍(lán)點(diǎn)網(wǎng)查遍全網(wǎng)也沒(méi)找到關(guān)于這次根證書(shū)撤銷(xiāo)的書(shū)R商業(yè)使用相關(guān)信息，藍(lán)點(diǎn)網(wǎng)很有可能是致國(guó)第一家報(bào)道此事的科技媒體。

Thawte 是內(nèi)外 DigiCert 旗下公司，但無(wú)論是不少 Thawte 還是 DigiCert 都沒(méi)有對(duì)這次根證書(shū)被吊銷(xiāo)發(fā)布任何回應(yīng)，哪怕到現(xiàn)在他們的軟件網(wǎng)站上都找不到關(guān)于此次事件的說(shuō)明。

被吊銷(xiāo)的藍(lán)點(diǎn)不只是 Thawte Primary Root CA：

到今天我們終于看到國(guó)外有行業(yè)公司報(bào)道此事了，但提到的微軟無(wú)法網(wǎng)并不是 Thawte，而是吊銷(xiāo)多個(gè)A導(dǎo) Verisign Class 3 Public Primary Certification Authority – G5 證書(shū)，這同樣是根證一份根證書(shū)，簽發(fā)于 2006 年，書(shū)R商業(yè)使用有效期為 30 年，致國(guó)濟(jì)南高端美女上門(mén)外圍上門(mén)外圍女（電話微信181-8279-1445）提供全球及一二線城市兼職美女上門(mén)外圍上門(mén)外圍女到 2036 年過(guò)期，內(nèi)外被各大操作系統(tǒng)信任，也簽發(fā)了無(wú)數(shù)張中級(jí)證書(shū)和子證書(shū)。

報(bào)道此事的 AirLock Digital 是收到客戶反饋才發(fā)現(xiàn) G5 證書(shū)被吊銷(xiāo)的，在 Reddit 論壇也有零星帖子在討論，討論緣由是國(guó)外一款會(huì)計(jì)類軟件 QuickBooks 使用的就是 G5 證書(shū)，由于 G5 證書(shū)被吊銷(xiāo)，該軟件 / 服務(wù)也無(wú)法正常加載。

藍(lán)點(diǎn)網(wǎng)看到這事兒后發(fā)現(xiàn)事情可能并不簡(jiǎn)單，于是我手動(dòng)檢查了 Windows 受信任的根證書(shū)頒發(fā)機(jī)構(gòu)，發(fā)現(xiàn)已經(jīng)有多張根證書(shū)被吊銷(xiāo)。

被吊銷(xiāo)的根證書(shū)包括：

Class 3 Public Primary Certification Authority – 頒發(fā)日期 1996 年 1 月 29 日，有效期至 2028 年 8 月 2 日，吊銷(xiāo)時(shí)間：2023 年 8 月 23 日

TrustCor RootCert CA-1 – 頒發(fā)日期 2016 年 2 月 4 日，有效期至 2030 年 1 月 1 日，吊銷(xiāo)時(shí)間：2022 年 12 月 2 日 [注：美國(guó)國(guó)防部馬甲]

Thawte Primary Root CA – 頒發(fā)日期 2006 年 11 月 17 日，有效期至 2036 年 7 月 17 日，吊銷(xiāo)時(shí)間：2023 年 8 月 23 日

VeriSign Class 3 Public Primary Certification Authority – G5 頒發(fā)日期 2006 年 11 月 8 日，有效期至 2036 年 7 月 17 日，吊銷(xiāo)時(shí)間：2023 年 8 月 23 日

這四份證書(shū)里除了 TrustCor 是去年 12 月被吊銷(xiāo)的外，其他都是 2023 年 8 月 23 日被吊銷(xiāo)的，TrustCor 是一家注冊(cè)在巴拿馬的 CA 機(jī)構(gòu)，該機(jī)構(gòu)此前被查出疑似是美國(guó)國(guó)防部的馬甲，屬于動(dòng)機(jī)不純的那種 CA 機(jī)構(gòu)，被微軟和火狐瀏覽器不信任是理所應(yīng)當(dāng)?shù)?，后面不再提?/p>

其他三份證書(shū)都有共同點(diǎn)，它們的母公司都是 DigiCert，還有個(gè)共同點(diǎn)，它們?cè)?jīng)都是賽門(mén)鐵克旗下的。

問(wèn)題出現(xiàn)在哪里：

賽門(mén)鐵克曾經(jīng)是全球首屈一指的安全公司，旗下包括安全軟件業(yè)務(wù)和數(shù)字證書(shū)業(yè)務(wù)，但在 2017 年谷歌發(fā)現(xiàn)賽門(mén)鐵克的數(shù)字證書(shū)業(yè)務(wù)極其混亂，原本應(yīng)該是專業(yè)的機(jī)構(gòu)，但賽門(mén)鐵克簽發(fā)錯(cuò)誤證書(shū)、故意隱瞞錯(cuò)誤、拒不承認(rèn)錯(cuò)誤。

但 Chrome 作為全球份額最高的瀏覽器，谷歌完全可以通過(guò)瀏覽器來(lái)決定信任或不信任哪些證書(shū)，谷歌的做法就是直接停止信任賽門(mén)鐵克簽發(fā)的證書(shū)，也就是所有證書(shū)基本等于作廢。

最終結(jié)果是賽門(mén)鐵克不認(rèn)輸也不行，自此之后賽門(mén)鐵克迅速落寞，所有數(shù)字證書(shū)業(yè)務(wù)全部被打包出售給 DigiCert。

而上面三份被吊銷(xiāo)的根證書(shū)都是賽門(mén)鐵克時(shí)代簽發(fā)的，其中 DigiCert 知曉 G5 證書(shū)應(yīng)該在 2019 年 5 月 21 日被微軟停止信任，但不知道什么原因微軟一直沒(méi)有吊銷(xiāo)這個(gè)證書(shū)，這種狀態(tài)持續(xù)到 2023 年 8 月 23 日。

然后在昨天微軟突然吊銷(xiāo) G5 等舊的根證書(shū)證書(shū)，這導(dǎo)致一大批使用 G5 等根證書(shū)簽發(fā)的中級(jí)證書(shū)、子證書(shū)全部失效，這也是為什么金蝶、用友、QuickBooks 都出現(xiàn)問(wèn)題的原因。

CA 機(jī)構(gòu)和系統(tǒng)開(kāi)發(fā)商都是草臺(tái)班子？

原本行業(yè)里吊銷(xiāo)證書(shū)是個(gè)很常見(jiàn)的事情，因?yàn)橛行┳C書(shū)可能因?yàn)榘踩珕?wèn)題例如私鑰泄露必須吊銷(xiāo)，但如果要吊銷(xiāo)的話行業(yè)需要評(píng)估潛在影響，然后商討吊銷(xiāo)時(shí)間，在安全與潛在影響之間作取舍。

例如之前英偉達(dá)被黑客攻擊就泄露了私鑰，微軟當(dāng)時(shí)知曉此事但并未立即吊銷(xiāo)其證書(shū)，原因在于一旦吊銷(xiāo)英偉達(dá)配套驅(qū)動(dòng)可能都會(huì)出現(xiàn)問(wèn)題，所以微軟無(wú)法輕易決定吊銷(xiāo)。

而本次事件中最吊詭的莫過(guò)于微軟吊銷(xiāo)這些證書(shū)沒(méi)有發(fā)布任何公告，不僅吊銷(xiāo)前沒(méi)有提前通知、吊銷(xiāo)后都沒(méi)有發(fā)布任何說(shuō)明；作為提供商的 DigiCert/Thawte 也沒(méi)有發(fā)布任何公告，但 DigiCert 實(shí)際上是收到了客戶反饋的。

因?yàn)?AirLock Digital 聯(lián)系 DigiCert 后得到回復(fù)：

是的，我們收到了一些關(guān)于同一問(wèn)題的報(bào)告。在將其上報(bào)給我們的工程團(tuán)隊(duì)后，他們已經(jīng)與微軟確認(rèn)，這些舊的根證書(shū)應(yīng)該在 2019~2021 年不受信任。

對(duì)于 G5 證書(shū)，這份證書(shū)本應(yīng)該在 2019 年 5 月 21 日被微軟停止信任，但直到 2023 年 8 月 23 日，微軟仍然信任這些根證書(shū)，并且昨天開(kāi)始才不信任這些根證書(shū)。

因此我們當(dāng)前使用此根證書(shū)和該頁(yè)面上的其他證書(shū)的客戶遇到了相同的問(wèn)題。

DigiCert 實(shí)際上是做了個(gè)列表的，這份列表發(fā)布于 2021 年，上面羅列了賽門(mén)鐵克時(shí)代的舊根證書(shū)，也列明了在不同平臺(tái)的不受信任時(shí)間，但顯然 DigiCert 并未通知客戶必須在 2021 年之前更換證書(shū)，因?yàn)檫@些證書(shū)當(dāng)時(shí)就應(yīng)該失效或者說(shuō)未來(lái)某個(gè)時(shí)候會(huì)失效。

坦誠(chéng)的說(shuō)，受影響的這些軟件應(yīng)當(dāng)尤其開(kāi)發(fā)者承擔(dān)責(zé)任，畢竟 DigiCert 做了列表，然而現(xiàn)實(shí)環(huán)境里就是只發(fā)布個(gè)表格是解決不了問(wèn)題的，DigiCert 應(yīng)當(dāng)發(fā)郵件或者通過(guò)其他方式通知其客戶。

還有個(gè)問(wèn)題是，DigiCert 只在媒體請(qǐng)求置評(píng)時(shí)才私下回應(yīng)并提到 G5 證書(shū)，直到現(xiàn)在 DigiCert 也沒(méi)有將 G5、Thawte 和 Class 3 突然被吊銷(xiāo)放在一起做個(gè)公開(kāi)說(shuō)明。

最迷惑的就是微軟了：

原本應(yīng)該在某個(gè)固定時(shí)間就吊銷(xiāo)的證書(shū)，為何還能延長(zhǎng)好幾年，或許微軟在某個(gè)角落了提過(guò)某個(gè)說(shuō)明，但按理說(shuō)如此重大的事情怎么也得在吊銷(xiāo)前、吊銷(xiāo)后都發(fā)布公告進(jìn)行說(shuō)明。

或許是微軟考慮當(dāng)時(shí)吊銷(xiāo)影響太大？但即便這樣考慮的話現(xiàn)在要吊銷(xiāo)也應(yīng)該提前公告，不然這波對(duì)開(kāi)發(fā)商、對(duì)客戶都產(chǎn)生了太大的負(fù)面影響。

最后，DigiCert 2021 年就做了列表通知，看起來(lái)也沒(méi)什么過(guò)錯(cuò)；微軟只是延遲了吊銷(xiāo)時(shí)間，看起來(lái)好像也沒(méi)錯(cuò)，但問(wèn)題就這么發(fā)生了，但凡有一個(gè)提前發(fā)個(gè)明顯的通知都不至于造成現(xiàn)在這種混亂。