Microsoft ogłosił, że po ostrożnym rozpatrzeniu postanowił dołączyć do Mozilli, Google i Apple, odrzucając certyfikaty bezpieczeństwa wydawane przez chińskie Certificate Authority (CA) - WoSign i podległy mu StartCom. Począwszy od września tego roku, Windows 10 nie będzie rozpoznawał nowych certyfikatów jako prawidłowych. Microsoft nie wspomniał jednak, czy jego śladem podąży Windows 7 i inni poprzednicy Dziesiątki.
We wpisie na blogu Windows Security znalazło się oświadczenie: "Microsoft rozpocznie naturalną deprecjację certyfikatów WoSign i StartCom, ustawiając datę 'NotBefore' na 26 września 2017 r. Znaczy to, że wszystkie istniejące certyfikaty będą nadal funkcjonować aż do ich samowyczerpania. Windows 10 nie będzie traktował jako zaufanych żadnych nowych certyfikatów od tych CA po wrześniu 2017 r. Microsoft docenia globalną społeczność Certificate Authority i podejmuje takie decyzje tylko po poważnym rozważeniu, co będzie najlepsze dla bezpieczeństwa naszych użytkowników".
Decyzja zapadła po tym, jak dwaj chińscy CA przez lata nie mogli podołać spełnianiu standardów bezpieczeństwa Trusted Root Program wymaganych przez Microsoft. W dalszej części wyjaśnienia czytamy: "Microsoft doszedł do wniosku, że Chinese Certificate Authorities (CAs) - WoSign i StartCom - nie utrzymały standardów wymaganych przez nasz Trusted Root Program. Zaobserwowano niedopuszczalne praktyki związane z bezpieczeństwem, takie jak back-dating certyfikatów SHA-1, wydawanie błędnych certyfikatów, przypadkowe unieważnienia certyfikatów, duplikowanie numerów seryjnych certyfikatów oraz wielokrotne nadużycia CAB Forum Baseline Requirements (BR)".
W październiku zeszłego roku WoSign obiecał zrobić porządek ze swoimi certyfikatami po tym, jak Mozilla zgłosiła związane z nimi trzy incydenty. Do tego jednak nie doszło. Gdy blokada certyfikatów przez Microsoft wejdzie w życie, większość przeglądarek przestanie je uznawać. Prawdopodobnie jedyną mainstreamową przeglądarką, która się z tego wyłamie, będzie Opera.
341f31d.png)