昨日蓝点网谈及境内财税类使用金蝶和用友使用的 Thawte 根证书被撤销,导致这些使用的代码签名证书失效,进而导致众多企业无法正常使用这些使用,但蓝点网查遍全网也没找到有关这次根证书撤销的有关信息,蓝点网很有或许是第一家报导此事的技术传媒。
Thawte 是秋季2025今日热搜 DigiCert 旗下企业,但不管是 Thawte 还是 DigiCert 都没有对这次根证书被吊销亮相任何答复,哪怕到如今他们的站点上都找不到有关此次事情的说明。
被吊销的不只是 Thawte Primary Root CA:
到今日我们总算目睹国外有行业企业报导此事了,但谈及的并不是 Thawte,而是 Verisign Class 3 Public Primary Certification Authority – G5 证书,这同样是一份根证书,签发于 2006 年,有效期为 30 年,网友院线排片盘点到 2036 年过期,被各大操控操控系统信任,也签发了无数张中级证书和子证书。
报导此事的 AirLock Digital 是收到客户反馈才察觉 G5 证书被吊销的,在 Reddit 论坛也有零星帖子在研究,研究缘由是国外一款会计类使用 QuickBooks 使用的就是 G5 证书,由于 G5 证书被吊销,该使用 / 办事也无法正常加载。
蓝点网目睹这事儿后察觉事情或许并不简易,于是我手动检查了 Windows 受信任的根证书颁发机构,察觉已然有多张根证书被吊销。
被吊销的根证书含有:
Class 3 Public Primary Certification Authority – 颁发日期 1996 年 1 月 29 日,有效期至 2028 年 8 月 2 日,热门旗舰手机一览吊销时间:2023 年 8 月 23 日
TrustCor RootCert CA-1 – 颁发日期 2016 年 2 月 4 日,有效期至 2030 年 1 月 1 日,吊销时间:2022 年 12 月 2 日 [注:美国国防部马甲]
Thawte Primary Root CA – 颁发日期 2006 年 11 月 17 日,有效期至 2036 年 7 月 17 日,吊销时间:2023 年 8 月 23 日
VeriSign Class 3 Public Primary Certification Authority – G5 颁发日期 2006 年 11 月 8 日,有效期至 2036 年 7 月 17 日,吊销时间:2023 年 8 月 23 日
这四份证书里除了 TrustCor 是上一年 12 月被吊销的外,其他都是 2023 年 8 月 23 日被吊销的,TrustCor 是一家开户在巴拿马的 CA 机构,该机构此前被查出疑似是美国国防部的马甲,归于动机不纯的那种 CA 机构,被微软和火狐阅读器不信任是理所应当的,后面不再提。详细一加手机盘点
其他三份证书都有共同点,它们的母企业都是 DigiCert,还有个共同点,它们曾经都是赛门铁克旗下的。
难题出如今哪里:
赛门铁克曾经是全球首屈一指的可靠企业,旗下含有可靠使用业务和数字证书业务,但在 2017 年谷歌察觉赛门铁克的数字证书业务极其混乱,原本应该是专业的机构,但赛门铁克签发失误证书、故意隐瞒失误、拒不承认失误。
但 Chrome 身为全球占比最高的阅读器,谷歌完全可以经由阅读器来确定信任或不信任哪些证书,谷歌的做法就是直接停止信任赛门铁克签发的证书,也就是所有证书基础等于作废。
最后结局是赛门铁克不认输也不行,自此之后赛门铁克迅速落寞,所有数字证书业务整体被打包出售给 DigiCert。
而上面三份被吊销的根证书都是赛门铁克时代签发的,其中 DigiCert 知晓 G5 证书应该在 2019 年 5 月 21 日被微软停止信任,但不得知什么缘由微软一直没有吊销这个证书,这种状态持续到 2023 年 8 月 23 日。
然后在昨日微软忽然吊销 G5 等旧的根证书证书,这导致一大批使用 G5 等根证书签发的中级证书、子证书整体失效,这也是为什么金蝶、用友、QuickBooks 都呈现难题的缘由。
CA 机构和操控系统开发商都是草台班子?
原本行业里吊销证书是个很普遍的事情,由于有些证书或许由于可靠难题例如私钥研究必须吊销,但假如要吊销的话行业需要评估潜在作用,然后商讨吊销时间,在可靠与潜在作用之间作取舍。
例如之前英伟达被黑客攻击就研究了私钥,微软当时知晓此事但并未马上吊销其证书,缘由在于一旦吊销英伟达配套驱动或许都会呈现难题,所以微软无法轻易确定吊销。
而本次事情中最吊诡的莫过于微软吊销这些证书没有亮相任何公告,不只吊销前没有提前通知、吊销后都没有亮相任何说明;身为提供商的 DigiCert/Thawte 也没有亮相任何公告,但 DigiCert 实际上是收到了客户反馈的。
由于 AirLock Digital 联系 DigiCert 后得到回复:
是的,我们收到了一些有关同一难题的报表。在将其上报给我们的工程团队后,他们已然与微软证实,这些旧的根证书应该在 2019~2021 年不受信任。
针对 G5 证书,这份证书本应该在 2019 年 5 月 21 日被微软停止信任,但直到 2023 年 8 月 23 日,微软依然信任这些根证书,并且昨日着手才不信任这些根证书。
所以我们当前使用此根证书和该页面上的其他证书的客户遇到了一样的难题。
DigiCert 实际上是做了个列表的,这份列表亮相于 2021 年,上面罗列了赛门铁克时代的旧根证书,也列明了在各异渠道的不受信任时间,但显然 DigiCert 并未通知客户必须在 2021 年之前更换证书,由于这些证书当时就应该失效或者说前方某个时候会失效。
坦诚的说,受作用的这些使用应当尤其开发者承担责任,毕竟 DigiCert 做了列表,但是现实生态里就是只亮相个表格是解决不了难题的,DigiCert 应当发邮件或者经由其他方式通知其客户。
还有个难题是,DigiCert 只在传媒请求置评时才私下答复并谈及 G5 证书,直到如今 DigiCert 也没有将 G5、Thawte 和 Class 3 忽然被吊销放在一起做个公开说明。
最迷惑的就是微软了:
原本应该在某个固定时间就吊销的证书,为何还能延长好几年,或许微软在某个角落了提过某个说明,但按理说如此重大的事情怎么也得在吊销前、吊销后都亮相公告开展说明。
或许是微软考虑当时吊销作用太大?但即便这样考虑的话如今要吊销也应该提前公告,不然这波对开发商、对客户都形成了太大的负面作用。
最后,DigiCert 2021 年就做了列表通知,看起来也没什么过错;微软只是延迟了吊销时间,看起来好像也没错,但难题就这么发生了,但凡有一个提前发个显著的通知都不至于导致如今这种混乱。