長期使用以色列StartSSL憑證服務的韓國資安研究員Pierre Kim,近日卻發現SSL主機從去年底偷偷變成了奇虎360中國機房內的伺服器。他上網公開了停用StartSSL改換成Let's Encrypt的過程,在知名技術論壇Hacker News引起開發者熱烈討論,連中國開發社群都高度關注。

Pierre Kim先前踢爆過多項漏洞,如Totolink旗下20款路由器有後門問題,或是華為多款舊型3G路由器中的安全漏洞。最近他發現,從去年12月後,以色列公司Startcom憑證服務StartSSL的網域IP位址,從原本位於以色列的192.116.242.27,轉為一個位於中國電信機房的IP位址104.192.110.222。

透過Whois查詢104.192.110.222時,Pierre Kim發現,此IP已在2014年被QIHU 360所擁有(即奇虎360),再搭配DNS查詢網站WhatsMyDNS比對,可查出StartSSL並非透過CDN服務來派送,因此,他認為,這個IP就是真實主機的IP,而且全球各地StartSSL服務的IP位址卻都指向奇虎360是擁有者。因此Pierre Kim推斷,StartSSL的PKI(Public Key Infrastructure)已經被奇虎360所掌握。因此,他決定停止使用StartSSL,轉為使用Let's Encrypt。

在去年12月時,Startcom官網的確對外宣布,2015年稍早已在中國深圳設立研發中心,除了擴展在中國的事業外,也用於提供中國當地服務,但是Startcom並未透露,會由中國機房來提供全球服務。

Pierre Kim認為,從官網聲明,雖然僅能看出Startcom去年的確在中國展開了業務擴張的行動。但他認為,除非StartSSL解釋清楚為何自家的PKI會交由奇虎360託管,否則應該開始停止使用StartSSL。而他也呼籲其他人使用Let's Encrypt。

擔心雲端主機在中國的人,不只是Pierre Kim這樣的韓國資安研究者而已,去年中國政府通過爭議頗大的反恐法之後,也引起歐美科技廠商的疑慮。因為反恐法除了要求ISP必須安裝後門程式外,伺服器加密儲存的金鑰也必須上繳中國政府,甚至連美國總統歐巴馬及美國國務院都表示嚴重關切,擔心反恐法除了限制言論自由、宗教自由外,也會對美中貿易關係帶來影響。


Advertisement

更多 iThome相關內容