GitHub安全團(tuán)隊(duì)稱沃通在沒有得到他們授權(quán)的情況下簽發(fā)了一個(gè)GitHub的證書。這促使GitHub安全團(tuán)隊(duì)和Mozilla合作對(duì)沃通進(jìn)行了調(diào)查，發(fā)現(xiàn)了沃通的若干違規(guī)簽發(fā)證書的問題。該調(diào)查表明沃通有意地規(guī)避了瀏覽器限制（即對(duì)SHA-1 簽名證書的失效計(jì)劃）和對(duì)CA的要求。更進(jìn)一步的，還發(fā)現(xiàn)了另外一家CA公司StartCom也被沃通秘密收購(gòu)，這違反了CA公司被收購(gòu)需要披露信息的要求。而且，沃通公司還替換了原StartCom的基礎(chǔ)設(shè)施、人員、政策和簽發(fā)系統(tǒng)。面對(duì)這種情況，沃通和StartCom管理層還嘗試誤導(dǎo)，這兩個(gè)公司之間的收購(gòu)事實(shí)。

目前，主流瀏覽器里面，Mozilla的Firefox 、蘋果的Safari和谷歌的Chrome都已經(jīng)做出了相應(yīng)的反應(yīng)，從 Chrome 56版本開始，不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后簽發(fā)的證書。在這個(gè)日期之前簽發(fā)的證書依舊信任。這次懲罰是瀏覽器直接無法訪問，用戶不能選擇忽略。使用這兩個(gè)CA 所簽發(fā)證書的網(wǎng)站應(yīng)該盡快遷移到其它被信任的CA所簽發(fā)的證書下。

受影響網(wǎng)站：

權(quán)威機(jī)構(gòu)分析，中國(guó)互聯(lián)網(wǎng)共有2971個(gè)網(wǎng)站受到影響。

瀏覽器攔截截圖：

Chrome：

Safari：

Firefox：

瀏覽器官方通告：

Chrome:https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

Firefox:https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Safari:https://support.apple.com/en-ca/HT204132