在 Solidot 上看到「Google 将屏蔽西班牙 CA Camerfirma」這篇,裡面是引用了 ZDNet 的「Google bans another misbehaving CA from Chrome」這則報導,看了一下相關的資料,好像還蠻精彩的...
在「Summary of Camerfirma's Compliance Issues」這邊有不少人的討論,另外 Google 的 Ryan Sleevi 宣佈將不會信任 Camerfirma CA 的公告則可以在這邊看到。
Mozilla 有在他們自家的 wiki 上面整理出 Camerfirma 發生過的各種問題:「CA:Camerfirma Issues」。
開頭的「Issue B: Delegation of validation to StartCom following Mozilla's distrust of StartCom (March 2017)」就看到讓人頗意外的關係,原來這家公司跟當年的 WoSign & StartCom 有關:
In March 2017, following the distrust of WoSign/StartCom, Camerfirma entered into a business relationship with StartCom. As part of that relationship, StartCom's CEO Iñigo underwent training as an RA for Camerfirma. As described, Iñigo performed organizational and domain validation for customers of StartCom, and then instructed Camerfirma to issue the certificates.
花了大概二十分鐘翻完,這戰績有點輝煌... Mozilla 到目前還是沒做決定,反倒是 Google 先砍了第一刀?
本來想說Mozilla 主張無罪推定(畢竟之前放行CNNIC), 但我看了CA:Camerfirma Issues 之後覺得這間公司還是收攤好了.
要馬說人不夠疏於稽查, 不然就fat fingers 真的是很搞笑.