近日,微信公众号后台收到微信团队发送的公告,“iOS 11不再信赖WoSign证书,请开发者及时更改”(公告详情,如下图所示),于是便去百度搜了下,发现网上众说纷纭,究竟在iOS11系统中是否还能继续使用WoSign证书?如果网站用的是Wosign证书,接下来该怎么办?
首先,回顾下微信团队7月24日发布的公告及网上对此的解决方案。
从公告中得到以下两点信息:
1、在即将推出的iOS11系统中,使用了WoSign证书的网站页面,将无法在微信和Safari浏览器中正常打开。
2、Wosign和StartCom根证书不再被苹果信任。根据苹果的官方公告,https://support.apple.com/en-au/HT204132,已明确表示未来将阻止根证书是WoSign和StartCom的证书,而一旦被认定为“阻止”状态的证书,将不再被苹果信任。
网上针对此公告,给微信公众号管理者提出了建议,如下图所示。简而言之,1、检查网站SSL证书使用了哪家的根证书,2、检查此根证书是否被苹果信任。需要注意的是,此建议的对象是公众号管理者,而对于未涉及微信开发的Wosign证书网站,如果想在iOS11系统的Safari浏览器中正常打开,则仍然要进行以上两步检查。
究竟Wosign证书还能在iOS11中正常工作吗?解决这个问题前,需要先明确Wosign根证书及Wosign销售的证书的区别。
微信公告和苹果公告所指的Wosign证书均指Wosign根证书。根证书是指CA认证中心给自己颁发的证书,是SSL证书信任链的起始点。顾名思义,Wosign根证书是Wosign给自己颁发的证书。根据苹果的公告,Wosign根证书将不再被苹果所信任,即在iOS11系统及以后的版本中,安装Wosign根证书的网站页面,都将不能正常访问。
目前Wosign销售的证书,实际上使用的是DigiCert根证书,而不是自己的Wosign根证书。DigiCert根证书是受苹果所信任的,所以使用DigiCert根证书的证书产品也是受苹果信任的。
所以,从Wosign购买的证书能否在iOS11中继续使用,主要取决于购买的Wosign证书使用的是Wosign根证书还是DigiCert根证书。如果是DigiCert根证书,则可继续使用;如果是Wosign根证书,则需尽快进行更换。
我用的就是Wosign根证书的证书,接下来怎么办?
根据Wosign官方回应,受影响的收费用户,可以尽快联系沃通客服替换新证书(猜测是替换成DigiCert根证书的新产品)。或者为了保险起见,您也可以在iOS11系统发布之前,直接购买DigiCert SSL证书或选择Symantec、GeoTrust、Comodo等其他全球知名品牌的SSL证书。
关于DigiCert
DigiCert是美国品牌,成立至今已达十余年,专注提供SSL证书、证书管理工具和平台等。DigiCert为用户提供专业的客户服务,与全球各大品牌制造商、政府部门以及医疗保健机构都有合作。
除了Wosign转售DigiCert SSL证书,CNNIC CA在2015年被谷歌和火狐浏览器惩罚后,也已将官网SSL证书转至DigiCert。另外,DigiCert SSL证书还深受IT新兴科技企业的青睐,如Facebook、谷歌等网站均使用DigiCert证书。
本文详细图文内容,可见:https://www.bisend.cn/blog/apple-will-block-wosign-root-certificate/
2017年8月3日最新消息,DigiCert已收购Symantec SSL证书业务。