https://xetown.com/slope/384230
https://xetown.com/square/407027
위 두 글과 이어집니다.
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
모질라, 애플에 이어 구글도 움직였습니다. 모질라와 동일하게 10월 21일 이후 발급된 모든 StartSSL/WoSign 인증서가 비신뢰 처리됩니다. 다만 모든 10월 21일 전에 발급된 인증서가 해당되지는 않으며, 인증서가 구글의 인증서 투명성 정책을 위반한 경우(본인이 소유하지 않은 도메인에 대해 발급된 인증서 등) 등 일부 인증서는 발급일과 상관없이 차단될 수 있다고 합니다.
구글은 한술 더 떠서 이후 점차적으로 예외를 줄여나가다가 어느 순간에는 모든 WoSign/StartSSL 인증서를 차단할 계획이라고 합니다.
모질라는 StartSSL이나 WoSign에서 새로운 루트 CA 인증서를 제출한다면 루트 인증서 전환을 위해 일정 기간을 제공해 줄 용의가 있다고 밝혔습니다. StartSSL/WoSign에서도 이에 맞추어 새로운 루트 인증서를 발급하고 영향을 받는 모든 인증서를 교체해 줄 것이라 밝혔습니다.
하지만 새로운 루트 인증서가 발급되려면 https://bugzilla.mozilla.org/show_bug.cgi?id=1311832에 명시된 요구사항들을 만족해야 하기에 빠른 시일내 다시 새로운 인증서 제출은 힘들 것으로 보이며, 설사 새로운 인증서를 제출한다 해도 모질라 제품에서만 해당되는 것으로(모질라 제품은 운영체제의 루트 인증서 목록을 사용하지 않습니다) 윈도우 등 운영체제에서도 이를 반영해주어야 하는 데다가 이를 사용자가 업데이트로 받아야 하므로 교차 서명이 있으니 업데이트 문제는 없겠지만 어느 회사가 문제 있는 회사 인증서를 교차 서명하려 해줄지 의문입니다.
결론은 앞으로 1년간은 StartSSL/WoSign 인증서는 비신뢰된 것으로 생각하는 것이 편할 것으로 보입니다.
추가)StartCom이 망해가니 모회사 치후360이 직접 나서네요. WoSign CEO였던 리처드 왕을 자르고 그동안 WoSign 아래에 있던 StartCom을 직접 운영한다고 합니다.
http://www.theregister.co.uk/2016/10/10/heads_roll_as_qihoo_360_moves_to_end_wosign_startcom_certificate_row/
이렇게 될 것을 예상했는지, 얼마 전부터 3년짜리 인증서를 남발하고 있더군요. 1년짜리 인증서는 영업정지(?) 기간 안에 갱신 날짜가 돌아오니까 다른 업체에 고객을 빼앗기게 되지만, 3년짜리는 어떻게든 그 전에 루트 인증서를 다시 등록하면 되니까 꼼수를 부리는 듯 해요 ㅋ