在 Mozilla 安全邮件列表上，开发者 Gervase Markham 发帖称，多起与沃通 CA（WoSign）相关的事故引起了他们的注意，Mozilla 正考虑是否对沃通 CA 采取行动。

Markham 谈论了三起事故：

2015 年 4 月 23 日左右，沃通 CA 允许免费证书申请者选择任意端口验证，违反了限制端口和路径使用的规定；2015 年 6 月，免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名（Base Domain）的证书，如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.com、github.io 和 www.github.io 的证书；2016 年 7 月，与沃通 CA 有关联的 StartCom CA 被发现允许证书倒填日期，倒填日期能绕过浏览器对 SHA-1 算法的限制。

Mozilla 可能采取的行动包括吊销沃通 CA 证书。沃通 CA 是中国最大的 SSL 证书发行商之一，它声称中国市场每 3 张 SSL 证书中就有 1 张由沃通 CA 签发，如果吊销沃通 CA 证书，可能将会影响很多中国网站。

济宁IT新闻