从昨天 (8/24) 早上起,有用户发现部分软件(例如 ERP 软件金蝶)无法打开,原因是其代码签名所用根证书 "thawte Primary Root CA" [1] 被 Windows 平台停止信任(iOS/mac 平台或早已停止信任 (Distrust) 相关证书 [2])。这可能也会影响其它(但不是所有)通过此根证书下证书签名的软件。
Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。
为了使这些程序能够运行,目前的临时解决方案是使用 Signtool 工具移除相关程序的数字签名。
- https://t.me/CE_Observe/29071
- https://www.landiannews.com/archives/99913.html
1. https://crt.sh/?caid=14
2. https://support.apple.com/en-au/HT208860
#Symantec #Windows #PKI
Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。
为了使这些程序能够运行,目前的临时解决方案是使用 Signtool 工具移除相关程序的数字签名。
- https://t.me/CE_Observe/29071
- https://www.landiannews.com/archives/99913.html
1. https://crt.sh/?caid=14
2. https://support.apple.com/en-au/HT208860
#Symantec #Windows #PKI
Telegram
每日消费电子观察
突发!Thawte 根证书被吊销 金蝶等部分软件无法打开 附临时解决方案
https://www.landiannews.com/archives/99913.html
附金蝶 KIS 下载地址,IT 测试可用
https://vip.kingdee.com/article/43091086030733326
Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行
https://www.reddit.com/r/sysadmin/comments/15zbpfc/root_ssl_re…
https://www.landiannews.com/archives/99913.html
附金蝶 KIS 下载地址,IT 测试可用
https://vip.kingdee.com/article/43091086030733326
Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行
https://www.reddit.com/r/sysadmin/comments/15zbpfc/root_ssl_re…
🤔9
层叠 - The Cascading
从昨天 (8/24) 早上起,有用户发现部分软件(例如 ERP 软件金蝶)无法打开,原因是其代码签名所用根证书 "thawte Primary Root CA" [1] 被 Windows 平台停止信任(iOS/mac 平台或早已停止信任 (Distrust) 相关证书 [2])。这可能也会影响其它(但不是所有)通过此根证书下证书签名的软件。 Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。 为了使这些…
此停止信任操作于 8/24 被回滚。微软称此更新原本是例行证书废弃过程的一部分,但它让部分特定配置的用户出现了问题,因而进行了回滚。
- arstechnica.com/~
- https://t.me/CE_Observe/29128
thread: /4295
#Symantec #Windows #PKI
- arstechnica.com/~
- https://t.me/CE_Observe/29128
thread: /4295
#Symantec #Windows #PKI
Ars Technica
Renegade certificate removed from Windows. Then it returns. Microsoft stays silent.
The certificate, originally spawned by Symantec, was scheduled to be banished years ago.
层叠 - The Cascading
EV (Extended Validation) 证书在过去一直被用来验证网站确实由某公司控制。2017 年的一场实验后,许多厂商意识到,虽然价格和验证精细度相对一般的 DV (Domain Validation) 证书都有提高*,EV 证书并没有让用户更安全**,因而取消了 EV 证书相对于一般 TLS 证书的特殊显示(例如绿底网址栏) [1]。 欧盟 eIDAS 条例近期的修正案提及了一种类似于 EV 证书的机制,叫 QWAC***。条例要求浏览器在访问具有 QWAC 的网站时显示一系列额外元素 […
要求浏览器无条件信任欧盟指定 CA 及公钥的 eIDAS 草案被三方会谈通过,将被送审。
此草案的第 45 条如是说。欧盟成员国可以指定合格信任服务提供商 (QTSPs),而浏览器除非取得政府同意,否则不被允许移除对这些 QTSP 的信任,甚至不被允许进行任何额外核查(例如目前广泛存在的证书透明度要求等)。
这一条款将给政府的监听行为大开方便之门。同时,也会使欧盟一国信任事故的影响放大到全体欧盟公民。公开信还提到,草案的制定大多在闭门会议上,公众难以了解立法进展。
EFF、Mozilla、Linux Foundation 等组织/企业撰写公开信反对草案的这一部分。
- https://last-chance-for-eidas.org/
- https://eidas-open-letter.org/
thread: /3392
#EU #eIDAS #PKI #Privacy
此草案的第 45 条如是说。欧盟成员国可以指定合格信任服务提供商 (QTSPs),而浏览器除非取得政府同意,否则不被允许移除对这些 QTSP 的信任,甚至不被允许进行任何额外核查(例如目前广泛存在的证书透明度要求等)。
这一条款将给政府的监听行为大开方便之门。同时,也会使欧盟一国信任事故的影响放大到全体欧盟公民。公开信还提到,草案的制定大多在闭门会议上,公众难以了解立法进展。
EFF、Mozilla、Linux Foundation 等组织/企业撰写公开信反对草案的这一部分。
- https://last-chance-for-eidas.org/
- https://eidas-open-letter.org/
thread: /3392
#EU #eIDAS #PKI #Privacy
last-chance-for-eidas.org
Last Chance for eIDAS
13 days before the first eIDAS vote, still no public text
👎167🎉9🤨8👍2🔥2
Chrome 宣布停止信任 2024/10/31 后在 CT 登记的由 Entrust CA 签发的证书。
- Entrust 是一家 CA,旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是,后者近期发生多起违反 CA/B BR 的事件,并且在多个方面未能使公众信服其作为 CA 的能力。 [1]
security.googleblog.com/~
linksrc: blog.gslin.org/~
1. groups.google.com/~
#PKI #Google
- Entrust 是一家 CA,旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是,后者近期发生多起违反 CA/B BR 的事件,并且在多个方面未能使公众信服其作为 CA 的能力。 [1]
security.googleblog.com/~
linksrc: blog.gslin.org/~
1. groups.google.com/~
#PKI #Google
Google Online Security Blog
Sustaining Digital Certificate Security - Entrust Certificate Distrust
Posted by Chrome Root Program, Chrome Security Team Update (09/10/2024): In support of more closely aligning Chrome’s planned compliance ...
👍33👎2🤔2🤨2
Let's Encrypt 宣布计划废弃 OCSP 服务。
文章还提到:
- Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。
- CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性;除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。
letsencrypt.org/~
seealso: HackerNews:41046956
EDIT 7/24: 修正链接。
#OCSP #PKI #LetsEncrypt
文章还提到:
- Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。
- CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性;除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。
letsencrypt.org/~
seealso: HackerNews:41046956
EDIT 7/24: 修正链接。
#OCSP #PKI #LetsEncrypt
👍30🤔7
继 Google 后,Mozilla 亦宣布停止信任 Entrust CA 新证书。
- 由于对 Entrust 的事故报告不满意,Google(包括 Chrome) [1] 决定停止信任 Entrust 于 2024/10/31 后签发的证书。昨日,Mozilla 也宣布决定停止信任 Entrust 于 2024/11/30 后签发的证书。
- 受影响 CA 品牌包括 Entrust 及 AffirmTrust。
groups.google.com/~
1. security.googleblog.com/~
#PKI #Entrust
- 由于对 Entrust 的事故报告不满意,Google(包括 Chrome) [1] 决定停止信任 Entrust 于 2024/10/31 后签发的证书。昨日,Mozilla 也宣布决定停止信任 Entrust 于 2024/11/30 后签发的证书。
- 受影响 CA 品牌包括 Entrust 及 AffirmTrust。
groups.google.com/~
1. security.googleblog.com/~
#PKI #Entrust
Google Online Security Blog
Sustaining Digital Certificate Security - Entrust Certificate Distrust
Posted by Chrome Root Program, Chrome Security Team Update (09/10/2024): In support of more closely aligning Chrome’s planned compliance ...
👍46👎1
研究者发现自己可以注册一些 TLD 的旧 Whois 服务域名,并利用其获得 TLD 下非由自己控制域名的 TLS 证书。
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
watchTowr Labs
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
Welcome back to another watchTowr Labs blog. Brace yourselves, this is one of our most astounding discoveries.
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
🤨37🎉5🤔3
只由微软根证书库信任的巴西国家 PKI ICP Brasil 被发现签发了 google.com 的证书。
- google.com 的 CAA 记录要求只有 Google Trust Services 可以为其签发证书。ICP Brasil 签发的证书不符合 CA/B 政策。
- 这引发了对 ICP Brasil 及微软的信任讨论 [seealso]。
https://bugzilla.mozilla.org/show_bug.cgi?id=1934361
seealso: HackerNews:42284202
#PKI #Microsoft
- google.com 的 CAA 记录要求只有 Google Trust Services 可以为其签发证书。ICP Brasil 签发的证书不符合 CA/B 政策。
- 这引发了对 ICP Brasil 及微软的信任讨论 [seealso]。
https://bugzilla.mozilla.org/show_bug.cgi?id=1934361
seealso: HackerNews:42284202
#PKI #Microsoft
bugzilla.mozilla.org
1934361 - ICP-Brasil: Mis-issued certificate
RESOLVED (bwilson) in CA Program - CA Certificate Compliance. Last updated 2025-02-14.
🤔42⚡1👍1
层叠 - The Cascading
Let's Encrypt 宣布计划废弃 OCSP 服务。 文章还提到: - Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。 - CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性;除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。 letsencrypt.org/~ seealso: HackerNews:41046956 EDIT 7/24: 修正链接。…
LE 公布 OCSP 废弃时间线。2025/5/7 起签发的证书将不含 OCSP 条目。
OCSP 服务将于 2025/8/6 关停。
https://letsencrypt.org/2024/12/05/ending-ocsp/
thread: /4572
#LetsEncrypt #OCSP #PKI
OCSP 服务将于 2025/8/6 关停。
https://letsencrypt.org/2024/12/05/ending-ocsp/
thread: /4572
#LetsEncrypt #OCSP #PKI
letsencrypt.org
Ending OCSP Support in 2025
Earlier this year we announced our intent to provide certificate revocation information exclusively via Certificate Revocation Lists (CRLs), ending support for providing certificate revocation information via the Online Certificate Status Protocol (OCSP).…
🤔16👎1
Let's Encrypt 计划推出有效期 6 天的短期证书;短期证书还将提供 IP 证书支持。
letsencrypt.org/~
linksrc: https://t.me/bupt_moe/2357
#PKI #LetsEncrypt
letsencrypt.org/~
linksrc: https://t.me/bupt_moe/2357
#PKI #LetsEncrypt
letsencrypt.org
Announcing Six Day and IP Address Certificate Options in 2025
This year we will continue to pursue our commitment to improving the security of the Web PKI by introducing the option to get certificates with six-day lifetimes (“short-lived certificates”). We will also add support for IP addresses in addition to domain…
👍33🤨14👎8🤔4
Firefox 135 起将检查 TLS 证书 CT 信息,和 Chromium 或 Safari 类似。
此更改在 Nightly 133、Beta 134 及稳定版 135 版本默认启用。用户亦可将
https://wiki.mozilla.org/SecurityEngineering/Certificate_Transparency
#Firefox #PKI
此更改在 Nightly 133、Beta 134 及稳定版 135 版本默认启用。用户亦可将
security.pki.certificate_transparency.mode 配置为 2 以启用。https://wiki.mozilla.org/SecurityEngineering/Certificate_Transparency
#Firefox #PKI
👍11
层叠 - The Cascading
Let's Encrypt 计划推出有效期 6 天的短期证书;短期证书还将提供 IP 证书支持。 letsencrypt.org/~ linksrc: https://t.me/bupt_moe/2357 #PKI #LetsEncrypt
证书用户现可从 Let's Encrypt 申请有效期 160 小时的证书。
https://letsencrypt.org/2025/02/20/first-short-lived-cert-issued/
thread: /4656
#PKI #LetsEncrypt
https://letsencrypt.org/2025/02/20/first-short-lived-cert-issued/
thread: /4656
#PKI #LetsEncrypt
letsencrypt.org
We Issued Our First Six Day Cert
Earlier this year we announced our intention to introduce short-lived certificates with lifetimes of six days as an option for our subscribers. Yesterday we issued our first short-lived certificate. You can see the certificate at the bottom of our post, or…
🤔30🤨11🔥4👍3🐳3
层叠 - The Cascading
Apple 提议在最晚 2027 年末将 TLS 证书有效期从 398 日降为 45 日。 PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。 https://github.com/cabforum/servercert/pull/553 #CABForum #TLS #Apple
CA/B Forum 投票通过 SC-081v3。新提案的内容之一是将公共 TLS 证书有效期缩短到 47 天。
根据提案,在 2026、2027 和 2029 年的 3 月 15 日,证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1]
groups.google.com/~
1. github.com/~
thread: /4610
linksrc: https://t.me/bupt_moe/2403
#CABForum #PKI
根据提案,在 2026、2027 和 2029 年的 3 月 15 日,证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1]
groups.google.com/~
1. github.com/~
thread: /4610
linksrc: https://t.me/bupt_moe/2403
#CABForum #PKI
GitHub
servercert/docs/BR.md at 91724f5f705443a73306f875149177aec304e376 · cabforum/servercert
Repository for the CA/Browser Forum Server Certificate Chartered Working Group - cabforum/servercert
🤨25👍12👎10🎉2
Cloudflare 发现 Fina CA 多次未经授权签发 1.1.1.1 的 TLS 证书。
- Fina CA 是一家证书机关 (CA),其根证书目前在 Microsoft 的信任根证书库中。
- Cloudflare 人士最近从邮件列表获知此事件。
- 根据调查,自 2024 年二月起,Fina 就已签发了 12 个包含 IP 地址 1.1.1.1 的证书;大多证书在签发后立即被 revoke。
- Cloudflare 在文档中提到其本来早就应该通过 Certificiate Transparency 监测获知此问题,但由于数个原因监测未能奏效。
blog.cloudflare.com/~
#PKI #Cloudflare #FinaCA
- Fina CA 是一家证书机关 (CA),其根证书目前在 Microsoft 的信任根证书库中。
- Cloudflare 人士最近从邮件列表获知此事件。
- 根据调查,自 2024 年二月起,Fina 就已签发了 12 个包含 IP 地址 1.1.1.1 的证书;大多证书在签发后立即被 revoke。
- Cloudflare 在文档中提到其本来早就应该通过 Certificiate Transparency 监测获知此问题,但由于数个原因监测未能奏效。
blog.cloudflare.com/~
#PKI #Cloudflare #FinaCA
The Cloudflare Blog
Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1
Unauthorized TLS certificates were issued for 1.1.1.1 by a Certification Authority without permission from Cloudflare. These rogue certificates have now been revoked. Read our blog to see how this could affect you.
🤔15🐳6
SHECA 需要作废约 7000 个不合规 TLS 证书,包括部分由新网签发的证书。
- SHECA 的 API 允许用户向 CA 提交自己的私钥和订单号以下载证书。这导致用户私钥被泄露给 CA,或构成对 CA/B BR 6.1.1.3 条款的违反。
- 涉及证书包括由部分新网 (Xinnet) 中间 CA 签发的证书。受影响用户应已收到通知。
https://bugzilla.mozilla.org/show_bug.cgi?id=1993357
#PKI #SHECA
- SHECA 的 API 允许用户向 CA 提交自己的私钥和订单号以下载证书。这导致用户私钥被泄露给 CA,或构成对 CA/B BR 6.1.1.3 条款的违反。
- 涉及证书包括由部分新网 (Xinnet) 中间 CA 签发的证书。受影响用户应已收到通知。
https://bugzilla.mozilla.org/show_bug.cgi?id=1993357
#PKI #SHECA
bugzilla.mozilla.org
1993357 - SHECA: TLS certificate key generation online
ASSIGNED (wangjiatai) in CA Program - CA Certificate Compliance. Last updated 2025-10-14.
🐳7❤2🔥2🤨2
层叠 - The Cascading
CA/B Forum 投票通过 SC-081v3。新提案的内容之一是将公共 TLS 证书有效期缩短到 47 天。 根据提案,在 2026、2027 和 2029 年的 3 月 15 日,证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1] groups.google.com/~ 1. github.com/~ thread: /4610 linksrc: https://t.me/bupt_moe/2403 #CABForum #PKI
Let's Encrypt 宣布证书有效期缩短到 45 天的计划。
- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起,Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天;2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式,使证书更新不再需要修改 DNS 记录;预计 2026 年可供使用。
https://letsencrypt.org/2025/12/02/from-90-to-45.html
thread: /4701
#CABForum #PKI #LetsEncrypt
- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起,Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天;2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式,使证书更新不再需要修改 DNS 记录;预计 2026 年可供使用。
https://letsencrypt.org/2025/12/02/from-90-to-45.html
thread: /4701
#CABForum #PKI #LetsEncrypt
letsencrypt.org
Decreasing Certificate Lifetimes to 45 Days
Let’s Encrypt will be reducing the validity period of the certificates we issue. We currently issue certificates valid for 90 days, which will be cut in half to 45 days by 2028.
This change is being made along with the rest of the industry, as required by…
This change is being made along with the rest of the industry, as required by…
👎31🤔17👍11❤1
层叠 - The Cascading
Let's Encrypt 将推出短期 IP 证书,目前暂不向公众开放。 - 证书的有效期为 6 天。 community.letsencrypt.org/~ #LetsEncrypt #PKI
🟢 Let's Encrypt 的 IP 地址 TLS 证书正式上线;证书有效期 6 天。
https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability
thread: /4727
#LetsEncrypt #PKI
https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability
thread: /4727
#LetsEncrypt #PKI
letsencrypt.org
6-day and IP Address Certificates are Generally Available
Update: March 11, 2026
If you use Certbot, see Six-Day and IP Address Certificates Available in Certbot for details on requesting these certificates.
Short-lived and IP address certificates are now generally available from Let’s Encrypt. These certificates…
If you use Certbot, see Six-Day and IP Address Certificates Available in Certbot for details on requesting these certificates.
Short-lived and IP address certificates are now generally available from Let’s Encrypt. These certificates…
❤21🤔6
DNS-PERSIST-01:单次 DNS 记录修改即可供持久签发 TLS 证书;预计 26 年 Q2 正式发布。
- 和 DNS01 的 _acme-challenge 不同,使用的是 _validation-persist 域名前缀。
- TXT 记录包含证书签发方、ACME 账户信息、签发政策,以及授权过期时间等信息。
https://letsencrypt.org/2026/02/18/dns-persist-01.html
#PKI #LetsEncrypt
- 和 DNS01 的 _acme-challenge 不同,使用的是 _validation-persist 域名前缀。
- TXT 记录包含证书签发方、ACME 账户信息、签发政策,以及授权过期时间等信息。
https://letsencrypt.org/2026/02/18/dns-persist-01.html
#PKI #LetsEncrypt
letsencrypt.org
DNS-PERSIST-01: A New Model for DNS-based Challenge Validation
When you request a certificate from Let’s Encrypt, our servers validate that you control the hostnames in that certificate using ACME challenges. For subscribers who need wildcard certificates or who prefer not to expose infrastructure to the public Internet…
👍46
「360 安全龙虾」客户端包含 TLS 证书私钥;目前证书已被吊销。
此证书由 WoTrus CA 签发,用于 *.myclaw.360.cn 及 myclaw.360.cn 域名。
finance.sina.com.cn/~
#Qihoo #OpenClaw #PKI
此证书由 WoTrus CA 签发,用于 *.myclaw.360.cn 及 myclaw.360.cn 域名。
finance.sina.com.cn/~
#Qihoo #OpenClaw #PKI
finance.sina.com.cn
360回应“安全龙虾”私钥泄露:系发布失误,已吊销证书
360回应“安全龙虾”私钥泄露:系发布失误,已吊销证书
😁39🤡23💩12🤣1