BJCA (Beijing Certificate Authority Co., Ltd. - 北京数字认证股份有限公司) 的两个根证书已通过 Mozilla 的核查和公共讨论期。如果在 last-call 期间没有异议,两个根证书将于 2/21 被批准加入 Mozilla 根证书库,成为继 CFCA、GDCA、SHCA、iTrusChina(天威诚信)后第五个 Mozilla 证书库中的中国大陆 CA [1]。在此之前,它们目前只被 360 根证书库信任。相关的两个 CA 如下:
- BJCA Global Root CA1 [2]
- BJCA Global Root CA2 [3]
Mozilla 审议期间,有审核者提到 BJCA 的「一证通」 (Beijing One Pass) 软件被 Recorded Future 的分析指出作出间谍软件行为(例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等) [4]。BJCA 回应称此软件需要安装其根证书以支持其 USB 密钥(U 盾),并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控,称这些行为涉及的程序并非「一证通」软件的一部分 [5]。
在之后邮件列表的讨论中,BJCA 还提到 [6]:
- BJCA 有两套分离的系统分别用来处理公共证书事务及国内证书签发事项,两套系统分别符合国际标准和国内标准。
- 在收到 Recorded Future 的分析报告后,BJCA 根据网信办的条例对软件进行了评估,并提交了评估报告。由于此报告涉及机密内容,且报告所涉的 CA 证书和此次向 Mozilla 申请加入证书库的证书无关,BJCA 无法公开此报告的全文。
https://bugzilla.mozilla.org/show_bug.cgi?id=1647181
注释链接:[1] [2] [3] [4] [5] [6]
来源:https://t.me/outvivid/4064
扩展阅读:
1.数字证书及 CA 的扫盲介绍
2.CNNIC 证书的危害及各种清除方法
3.老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
4.证书透明度——维基百科
5.证书透明度是什么?它是怎么工作的?
- BJCA Global Root CA1 [2]
- BJCA Global Root CA2 [3]
Mozilla 审议期间,有审核者提到 BJCA 的「一证通」 (Beijing One Pass) 软件被 Recorded Future 的分析指出作出间谍软件行为(例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等) [4]。BJCA 回应称此软件需要安装其根证书以支持其 USB 密钥(U 盾),并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控,称这些行为涉及的程序并非「一证通」软件的一部分 [5]。
在之后邮件列表的讨论中,BJCA 还提到 [6]:
- BJCA 有两套分离的系统分别用来处理公共证书事务及国内证书签发事项,两套系统分别符合国际标准和国内标准。
- 在收到 Recorded Future 的分析报告后,BJCA 根据网信办的条例对软件进行了评估,并提交了评估报告。由于此报告涉及机密内容,且报告所涉的 CA 证书和此次向 Mozilla 申请加入证书库的证书无关,BJCA 无法公开此报告的全文。
https://bugzilla.mozilla.org/show_bug.cgi?id=1647181
注释链接:[1] [2] [3] [4] [5] [6]
来源:https://t.me/outvivid/4064
扩展阅读:
1.数字证书及 CA 的扫盲介绍
2.CNNIC 证书的危害及各种清除方法
3.老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
4.证书透明度——维基百科
5.证书透明度是什么?它是怎么工作的?
