本月早些时候,微软悄悄推送了一批新的受信任根证书颁发机构。微软对此没有公开宣布,也没有在官方的 Microsoft Certificate Program 中列出新增加的根证书。新加入18个受信任根证书中,有的是毫无知名度的机构如RXC-R2,还有多个来自中国或在中国有子公司的:广东数字证书认证中心信鉴GDCA TrustAUTH R5 ROOT ,GlobalSign环玺GlobalSign Root CA – R6,沃通(WoSign) WoSign ECC和WoSign G2。
即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。
这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。
Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。