Apple blocked trust for WoSign CA Free SSL Certificate G2

Apple 终于有所动作了，可惜力度不大，
StartCom 已经和 Wosign 是一家的了………
应该把 StartCom 的三个 CA 也拉黑！

🍎💊，库克看来铁了心要退出中国。

希望微软也跟上。

@nvidiaAMD980X 目前看来暂时不会禁止 StartCom 。这次在苹果看来只是禁止了 StartCom 下面一个中级 CA 叫 WoSign CA Free SSL Certificate G2 在 9 月 19 日前签出的证书。

@jigloo 反正大陆的 GDP 离不开 Apple ，
我还是觉得 Apple 对于 SSL 安全的的重视程度不高
如果不移除 StartCom ，只是拉黑 Wosign CA ，无异于缘木求鱼。

@jigloo 苹果连中华民国国旗的 Emoji 都屏蔽，怎么可能不心向党国

@wql 是禁了 9 月 19 日以后签发出的证书。 9 月 19 日及之前签发的证书仍有效直到过期。

之前 cnnic 的时候，苹果的态度很暧昧和迟疑。最终还是犹抱琵琶半遮面的偷偷拉黑了。

这次如此积极和高调，而且比上次算的上重手。我闻到了一丝铁幕降临的味道。

免费证书出了问题就封掉。其他签发的出了问题再处理就可以嘛

@ehs2013
证书颁发流程出了问题就算你是 Symantec 也照样 ban ，一家 CA 最重要的就是信用和可靠。
http://www.freebuf.com/news/89530.html

我们是 WoSign Class 3 OV Server CA G2 的
好可怕……得赶紧换

来翻译一遍：

Apple 屏蔽 WoSign CA Free SSL Certificate G2 （ CA 沃通免费 SSL 证书）

CA 沃通的中级证书 WoSign CA Free SSL Certificate G2 目前在发放证书过程中遇到了许多控制权验证的问题。尽管在 Apple 的根证书信任列表中没有沃通根证书，但是其与 StartCom 和 Comodo 建立了交叉签名的关系。鉴于这些发现，我们在即将到来的安全更新中将采取措施来保护我们用户的安全。 Apple 的产品将不再信任 WoSign CA Free SSL Certificate G2 颁发的证书。

为避免影响现有的沃通证书持有者，我们将会给他们一段时间以过渡到那些受信任的 CA 。 Apple 产品将继续信任那些在 2016-09-19 前从这个中级 CA 获得的证书以及公开 Certificate Transparency （证书透明度）的人。除非证书过期，被吊销，或经过 Apple 的考虑进行吊销，这些人依旧能够继续使用他们的证书。

目前调查仍在继续，如果需要，我们将会在 Apple 产品中对 WoSign/StartCom 采取进一部措施，以保护我们的用户。

via. https://www.airscr.com/archives/1769.html

想问一下这个是不是需要安装更新，还是说会另外（静默）推送给用户？

我觉得 Apple 应该放开根证书的变动权限，效仿 Android ，可以让用户自动选择是否拉黑证书，
若是如此，用户可以第一时间得到安全保障，也可以促成由“下对上”的监控，让 CA 证书的颁发者不敢作恶。

@seki 估计是 iOS10.0.3

@jasontse 我看他也是把出问题的 ban 掉了啊， Symantec 的 VeriSign 根证书也没吊销啊。你这自打脸打的真棒

iOS 的证书更新必须依赖 iOS 版本更新这个问题很大啊

@jigloo 没有啊， https://support.apple.com/en-us/HT207177 最新 iOS10 里面依然包括 cnnic 证书

@Cavolo https://support.apple.com/zh-cn/HT204938 http://www.solidot.org/story?sid=45618 温和的拉黑。

@ehs2013 这和免不免费没关系。 symantec 这个事件是有记录可查的，谁签的，怎么签的，有没有泄漏，影响范围有多大都能确认。而 wosign 完全做不到这一点。
要类比的话可以看 DigiNotar ，被黑客黑了之后直接破产