背景介绍

国内比较知名的认证商有奇虎360旗下的沃通和StartCom，但是就在前段时间，苹果、谷歌以及几大浏览器都宣布封杀沃通和StartCom证书，事情是这样的：

2016年下半年，奇虎360通过控股公司（WoSign沃通）完全并购了StartCom并将其部分PKI设施迁移到了奇虎服务器中。由于牵涉安全问题，360的秘密收购在行业里引起轩然大波。

与此同时，沃通公司还被发现故意签发违规的数字证书，这使得Mozilla于2016年9月份宣布不再信赖这两家凭证机构，并在Firefox 58（预计2018年1月发布）中禁止两个公司的证书。随后，苹果、谷歌以及微软等公司也表示跟进。

其中，谷歌在今年1月发布的Chrome 56中，封锁了WoSign与StartCom于去年10月21日之后所发行的凭证，并持续缩小所信赖的WoSign与StartCom凭证名单。随货谷歌又宣布，在今年9月中旬发布的Chrome 61浏览器中全面封锁WoSign及StartCom两家凭证机构所发行的凭证。

苹果公司则在2016年10月就已经立即禁止了WoSign和StartCom证书；微软公司也表示于2017年9月后停止支持这两家公司的证书。

此后，沃通以及StartCom的证书均被主流操作系统和浏览器屏蔽，可以说最终这项收购案已完全变得得不偿失。

失去信任，宣布退出

如今，已归属360公司的数字证书颁发机构StartCom已经正式宣布，将于2017年年底停止签发新证书，并于2020年彻底终止证书签发业务。

针对此次“退出”，StartCom在一份声明中表示：

“大约一年前，大多数浏览器制造商决定不再信任StartCom，并将StartCom根证书从其根存储中删除，并且不再接受由StartCom签发的新证书。尽管StartCom在这段时间内做出了很多努力，但是，直到现在仍然没有任何迹象表明，这些浏览器制造商愿意重新接受并信任StartCom CA证书，因此，StartCom的所有者决定终止证书签发业务。”

根据该公司的说法，2017年年底或2018年年初（2018年1月1日）将停止签发新的证书，自2018年1月1日起，公司还将继续维持CRL（证书撤销清单）以及OCSP（在线证书状态协议）服务两年，到2020年将彻底撤销所有的证书。

那些年不受信任的CA认证机构

事实上，StartCom和沃通并不是唯一的证书不受信任的CA认证机构。第一个遭受这种命运的是来自荷兰的CA认证服务机构DigiNotar，该公司由于遭遇黑客攻击，并以Google的名义颁发了SSL证书，最终在2011年收到谷歌禁令后选择关闭运营。

同样的，在今年3月，谷歌和firefox调查发现Symantec未经授权错误签发大量SSL证书的严重问题，其TLS证书也被列入了黑名单。对此，谷歌公司已经宣布，从Chrome 66版本开始Chrome将不信任2016年6月1日之前签发的所有赛门铁克SSL证书。谷歌Chrome 70发布时（预计2018年10月），Chrome将不信任2017年12月1日之前签发的所有赛门铁克SSL证书。

虽然该公司并没有宣告“死亡”，但是它决定以9.5亿美元的现金和30％的股份将其证书业务出售给DigiCert，让DigiCert接管客户并修复其SSL发行基础设施。