昨天藍(lán)點(diǎn)網(wǎng)提到國內(nèi)財(cái)稅類軟件金蝶和用友使用的微軟無法網(wǎng) Thawte 根證書被撤銷，導(dǎo)致這些軟件的吊銷多個(gè)A導(dǎo)代碼簽名證書失效，進(jìn)而導(dǎo)致大量企業(yè)無法正常使用這些軟件，根證武漢外圍（武漢外圍女）外圍預(yù)約（電話微信199-7144-9724）全國一二線熱門城市快速安排30分鐘到達(dá)但藍(lán)點(diǎn)網(wǎng)查遍全網(wǎng)也沒找到關(guān)于這次根證書撤銷的書R商業(yè)使用相關(guān)信息，藍(lán)點(diǎn)網(wǎng)很有可能是致國第一家報(bào)道此事的科技媒體。

Thawte 是內(nèi)外 DigiCert 旗下公司，但無論是不少 Thawte 還是 DigiCert 都沒有對這次根證書被吊銷發(fā)布任何回應(yīng)，哪怕到現(xiàn)在他們的軟件網(wǎng)站上都找不到關(guān)于此次事件的說明。

被吊銷的藍(lán)點(diǎn)不只是 Thawte Primary Root CA：

到今天我們終于看到國外有行業(yè)公司報(bào)道此事了，但提到的微軟無法網(wǎng)并不是 Thawte，而是吊銷多個(gè)A導(dǎo) Verisign Class 3 Public Primary Certification Authority – G5 證書，這同樣是根證一份根證書，簽發(fā)于 2006 年，書R商業(yè)使用有效期為 30 年，致國武漢外圍（武漢外圍女）外圍預(yù)約（電話微信199-7144-9724）全國一二線熱門城市快速安排30分鐘到達(dá)到 2036 年過期，內(nèi)外被各大操作系統(tǒng)信任，也簽發(fā)了無數(shù)張中級證書和子證書。

報(bào)道此事的 AirLock Digital 是收到客戶反饋才發(fā)現(xiàn) G5 證書被吊銷的，在 Reddit 論壇也有零星帖子在討論，討論緣由是國外一款會(huì)計(jì)類軟件 QuickBooks 使用的就是 G5 證書，由于 G5 證書被吊銷，該軟件 / 服務(wù)也無法正常加載。

藍(lán)點(diǎn)網(wǎng)看到這事兒后發(fā)現(xiàn)事情可能并不簡單，于是我手動(dòng)檢查了 Windows 受信任的根證書頒發(fā)機(jī)構(gòu)，發(fā)現(xiàn)已經(jīng)有多張根證書被吊銷。

被吊銷的根證書包括：

Class 3 Public Primary Certification Authority – 頒發(fā)日期 1996 年 1 月 29 日，有效期至 2028 年 8 月 2 日，吊銷時(shí)間：2023 年 8 月 23 日

TrustCor RootCert CA-1 – 頒發(fā)日期 2016 年 2 月 4 日，有效期至 2030 年 1 月 1 日，吊銷時(shí)間：2022 年 12 月 2 日 [注：美國國防部馬甲]

Thawte Primary Root CA – 頒發(fā)日期 2006 年 11 月 17 日，有效期至 2036 年 7 月 17 日，吊銷時(shí)間：2023 年 8 月 23 日

VeriSign Class 3 Public Primary Certification Authority – G5 頒發(fā)日期 2006 年 11 月 8 日，有效期至 2036 年 7 月 17 日，吊銷時(shí)間：2023 年 8 月 23 日

這四份證書里除了 TrustCor 是去年 12 月被吊銷的外，其他都是 2023 年 8 月 23 日被吊銷的，TrustCor 是一家注冊在巴拿馬的 CA 機(jī)構(gòu)，該機(jī)構(gòu)此前被查出疑似是美國國防部的馬甲，屬于動(dòng)機(jī)不純的那種 CA 機(jī)構(gòu)，被微軟和火狐瀏覽器不信任是理所應(yīng)當(dāng)?shù)模竺娌辉偬帷?/p>

其他三份證書都有共同點(diǎn)，它們的母公司都是 DigiCert，還有個(gè)共同點(diǎn)，它們曾經(jīng)都是賽門鐵克旗下的。

問題出現(xiàn)在哪里：

賽門鐵克曾經(jīng)是全球首屈一指的安全公司，旗下包括安全軟件業(yè)務(wù)和數(shù)字證書業(yè)務(wù)，但在 2017 年谷歌發(fā)現(xiàn)賽門鐵克的數(shù)字證書業(yè)務(wù)極其混亂，原本應(yīng)該是專業(yè)的機(jī)構(gòu)，但賽門鐵克簽發(fā)錯(cuò)誤證書、故意隱瞞錯(cuò)誤、拒不承認(rèn)錯(cuò)誤。

但 Chrome 作為全球份額最高的瀏覽器，谷歌完全可以通過瀏覽器來決定信任或不信任哪些證書，谷歌的做法就是直接停止信任賽門鐵克簽發(fā)的證書，也就是所有證書基本等于作廢。

最終結(jié)果是賽門鐵克不認(rèn)輸也不行，自此之后賽門鐵克迅速落寞，所有數(shù)字證書業(yè)務(wù)全部被打包出售給 DigiCert。

而上面三份被吊銷的根證書都是賽門鐵克時(shí)代簽發(fā)的，其中 DigiCert 知曉 G5 證書應(yīng)該在 2019 年 5 月 21 日被微軟停止信任，但不知道什么原因微軟一直沒有吊銷這個(gè)證書，這種狀態(tài)持續(xù)到 2023 年 8 月 23 日。

然后在昨天微軟突然吊銷 G5 等舊的根證書證書，這導(dǎo)致一大批使用 G5 等根證書簽發(fā)的中級證書、子證書全部失效，這也是為什么金蝶、用友、QuickBooks 都出現(xiàn)問題的原因。

CA 機(jī)構(gòu)和系統(tǒng)開發(fā)商都是草臺班子？

原本行業(yè)里吊銷證書是個(gè)很常見的事情，因?yàn)橛行┳C書可能因?yàn)榘踩珕栴}例如私鑰泄露必須吊銷，但如果要吊銷的話行業(yè)需要評估潛在影響，然后商討吊銷時(shí)間，在安全與潛在影響之間作取舍。

例如之前英偉達(dá)被黑客攻擊就泄露了私鑰，微軟當(dāng)時(shí)知曉此事但并未立即吊銷其證書，原因在于一旦吊銷英偉達(dá)配套驅(qū)動(dòng)可能都會(huì)出現(xiàn)問題，所以微軟無法輕易決定吊銷。

而本次事件中最吊詭的莫過于微軟吊銷這些證書沒有發(fā)布任何公告，不僅吊銷前沒有提前通知、吊銷后都沒有發(fā)布任何說明；作為提供商的 DigiCert/Thawte 也沒有發(fā)布任何公告，但 DigiCert 實(shí)際上是收到了客戶反饋的。

因?yàn)?AirLock Digital 聯(lián)系 DigiCert 后得到回復(fù)：

是的，我們收到了一些關(guān)于同一問題的報(bào)告。在將其上報(bào)給我們的工程團(tuán)隊(duì)后，他們已經(jīng)與微軟確認(rèn)，這些舊的根證書應(yīng)該在 2019~2021 年不受信任。

對于 G5 證書，這份證書本應(yīng)該在 2019 年 5 月 21 日被微軟停止信任，但直到 2023 年 8 月 23 日，微軟仍然信任這些根證書，并且昨天開始才不信任這些根證書。

因此我們當(dāng)前使用此根證書和該頁面上的其他證書的客戶遇到了相同的問題。

DigiCert 實(shí)際上是做了個(gè)列表的，這份列表發(fā)布于 2021 年，上面羅列了賽門鐵克時(shí)代的舊根證書，也列明了在不同平臺的不受信任時(shí)間，但顯然 DigiCert 并未通知客戶必須在 2021 年之前更換證書，因?yàn)檫@些證書當(dāng)時(shí)就應(yīng)該失效或者說未來某個(gè)時(shí)候會(huì)失效。

坦誠的說，受影響的這些軟件應(yīng)當(dāng)尤其開發(fā)者承擔(dān)責(zé)任，畢竟 DigiCert 做了列表，然而現(xiàn)實(shí)環(huán)境里就是只發(fā)布個(gè)表格是解決不了問題的，DigiCert 應(yīng)當(dāng)發(fā)郵件或者通過其他方式通知其客戶。

還有個(gè)問題是，DigiCert 只在媒體請求置評時(shí)才私下回應(yīng)并提到 G5 證書，直到現(xiàn)在 DigiCert 也沒有將 G5、Thawte 和 Class 3 突然被吊銷放在一起做個(gè)公開說明。

最迷惑的就是微軟了：

原本應(yīng)該在某個(gè)固定時(shí)間就吊銷的證書，為何還能延長好幾年，或許微軟在某個(gè)角落了提過某個(gè)說明，但按理說如此重大的事情怎么也得在吊銷前、吊銷后都發(fā)布公告進(jìn)行說明。

或許是微軟考慮當(dāng)時(shí)吊銷影響太大？但即便這樣考慮的話現(xiàn)在要吊銷也應(yīng)該提前公告，不然這波對開發(fā)商、對客戶都產(chǎn)生了太大的負(fù)面影響。

最后，DigiCert 2021 年就做了列表通知，看起來也沒什么過錯(cuò)；微軟只是延遲了吊銷時(shí)間，看起來好像也沒錯(cuò)，但問題就這么發(fā)生了，但凡有一個(gè)提前發(fā)個(gè)明顯的通知都不至于造成現(xiàn)在這種混亂。