微軟吊銷多個根證書(ROOT CA) 導致國內外不少商業軟件無法使用

昨天提到國內財稅類軟件金蝶和用友使用的 Thawte 根證書被撤銷，導致這些軟件的代碼簽名證書失效，進而導致大量企業無法正常使用這些軟件，但查遍全網也沒找到關于這次根證書撤銷的相關信息，很有可能是第一家報道此事的科技媒體。

Thawte 是 DigiCert 旗下公司，但無論是 Thawte 還是 DigiCert 都沒有對這次根證書被吊銷發布任何回應，哪怕到現在他們的網站上都找不到關于此次事件的說明。

被吊銷的不只是 Thawte Primary Root CA：

到今天我們終于看到國外有行業公司報道此事了，但提到的并不是 Thawte，而是 Verisign Class 3 Public Primary Certification Authority - G5 證書，這同樣是一份根證書，簽發于 2006 年，有效期為 30 年，到 2036 年過期，被各大操作系統信任，也簽發了無數張中級證書和子證書。

報道此事的 AirLock Digital 是收到客戶反饋才發現 G5 證書被吊銷的，在 Reddit 論壇也有零星帖子在討論，討論緣由是國外一款會計類軟件 QuickBooks 使用的就是 G5 證書，由于 G5 證書被吊銷，該軟件 / 服務也無法正常加載。

看到這事兒后發現事情可能并不簡單，于是我手動檢查了 Windows 受信任的根證書頒發機構，發現已經有多張根證書被吊銷。

被吊銷的根證書包括：

Class 3 Public Primary Certification Authority - 頒發日期 1996 年 1 月 29 日，有效期至 2028 年 8 月 2 日，吊銷時間：2023 年 8 月 23 日

TrustCor RootCert CA-1 - 頒發日期 2016 年 2 月 4 日，有效期至 2030 年 1 月 1 日，吊銷時間：2022 年 12 月 2 日 [注：美國國防部馬甲]

Thawte Primary Root CA - 頒發日期 2006 年 11 月 17 日，有效期至 2036 年 7 月 17 日，吊銷時間：2023 年 8 月 23 日

VeriSign Class 3 Public Primary Certification Authority - G5 頒發日期 2006 年 11 月 8 日，有效期至 2036 年 7 月 17 日，吊銷時間：2023 年 8 月 23 日

這四份證書里除了 TrustCor 是去年 12 月被吊銷的外，其他都是 2023 年 8 月 23 日被吊銷的，TrustCor 是一家注冊在巴拿馬的 CA 機構，該機構此前被查出疑似是美國國防部的馬甲，屬于動機不純的那種 CA 機構，被微軟和火狐瀏覽器不信任是理所應當的，后面不再提。

其他三份證書都有共同點，它們的母公司都是 DigiCert，還有個共同點，它們曾經都是賽門鐵克旗下的。

問題出現在哪里：

賽門鐵克曾經是全球首屈一指的安全公司，旗下包括安全軟件業務和數字證書業務，但在 2017 年谷歌發現賽門鐵克的數字證書業務極其混亂，原本應該是專業的機構，但賽門鐵克簽發錯誤證書、故意隱瞞錯誤、拒不承認錯誤。

但 Chrome 作為全球份額最高的瀏覽器，谷歌完全可以通過瀏覽器來決定信任或不信任哪些證書，谷歌的做法就是直接停止信任賽門鐵克簽發的證書，也就是所有證書基本等于作廢。

最終結果是賽門鐵克不認輸也不行，自此之后賽門鐵克迅速落寞，所有數字證書業務全部被打包出售給 DigiCert。

而上面三份被吊銷的根證書都是賽門鐵克時代簽發的，其中 DigiCert 知曉 G5 證書應該在 2019 年 5 月 21 日被微軟停止信任，但不知道什么原因微軟一直沒有吊銷這個證書，這種狀態持續到 2023 年 8 月 23 日。

然后在昨天微軟突然吊銷 G5 等舊的根證書證書，這導致一大批使用 G5 等根證書簽發的中級證書、子證書全部失效，這也是為什么金蝶、用友、QuickBooks 都出現問題的原因。

CA 機構和系統開發商都是草臺班子？

原本行業里吊銷證書是個很常見的事情，因為有些證書可能因為安全問題例如私鑰泄露必須吊銷，但如果要吊銷的話行業需要評估潛在影響，然后商討吊銷時間，在安全與潛在影響之間作取舍。

例如之前英偉達被黑客攻擊就泄露了私鑰，微軟當時知曉此事但并未立即吊銷其證書，原因在于一旦吊銷英偉達配套驅動可能都會出現問題，所以微軟無法輕易決定吊銷。

而本次事件中最吊詭的莫過于微軟吊銷這些證書沒有發布任何公告，不僅吊銷前沒有提前通知、吊銷后都沒有發布任何說明；作為提供商的 DigiCert/Thawte 也沒有發布任何公告，但 DigiCert 實際上是收到了客戶反饋的。

因為 AirLock Digital 聯系 DigiCert 后得到回復：

是的，我們收到了一些關于同一問題的報告。在將其上報給我們的工程團隊后，他們已經與微軟確認，這些舊的根證書應該在 2019~2021 年不受信任。

對于 G5 證書，這份證書本應該在 2019 年 5 月 21 日被微軟停止信任，但直到 2023 年 8 月 23 日，微軟仍然信任這些根證書，并且昨天開始才不信任這些根證書。

因此我們當前使用此根證書和該頁面上的其他證書的客戶遇到了相同的問題。

DigiCert 實際上是做了個列表的，這份列表發布于 2021 年，上面羅列了賽門鐵克時代的舊根證書，也列明了在不同平臺的不受信任時間，但顯然 DigiCert 并未通知客戶必須在 2021 年之前更換證書，因為這些證書當時就應該失效或者說未來某個時候會失效。

坦誠的說，受影響的這些軟件應當尤其開發者承擔責任，畢竟 DigiCert 做了列表，然而現實環境里就是只發布個表格是解決不了問題的，DigiCert 應當發郵件或者通過其他方式通知其客戶。

還有個問題是，DigiCert 只在媒體請求置評時才私下回應并提到 G5 證書，直到現在 DigiCert 也沒有將 G5、Thawte 和 Class 3 突然被吊銷放在一起做個公開說明。

最迷惑的就是微軟了：

原本應該在某個固定時間就吊銷的證書，為何還能延長好幾年，或許微軟在某個角落了提過某個說明，但按理說如此重大的事情怎么也得在吊銷前、吊銷后都發布公告進行說明。

或許是微軟考慮當時吊銷影響太大？但即便這樣考慮的話現在要吊銷也應該提前公告，不然這波對開發商、對客戶都產生了太大的負面影響。

最后，DigiCert 2021 年就做了列表通知，看起來也沒什么過錯；微軟只是延遲了吊銷時間，看起來好像也沒錯，但問題就這么發生了，但凡有一個提前發個明顯的通知都不至于造成現在這種混亂。

以上就是“微軟吊銷多個根證書(ROOT CA) 導致國內外不少商業軟件無法使用”的詳細內容，想要了解更多IT圈內資訊歡迎持續關注編程學習網。