Post #1007

BJCA (Beijing Certificate Authority Co., Ltd. - 北京数字认证股份有限公司) 的两个根证书已通过 Mozilla 的核查和公共讨论期。如果在 last-call 期间没有异议，两个根证书将于 2/21 被批准加入 Mozilla 根证书库，成为继 CFCA、GDCA、SHCA、iTrusChina（天威诚信）后第五个 Mozilla 证书库中的大陆 CA [1]。在此之前，它们目前只被 360 根证书库信任。相关的两个 CA 如下： - BJCA Global Root CA1 [2] - BJCA Global Root CA2 [3] Mozilla 审议期间，有审核者提到 BJCA 的「一证通」 (Beijing One Pass) 软件被 Recorded Future 的分析指出作出间谍软件行为（例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等） [4]。BJCA 回应称此软件需要安装其根证书以支持其 USB 密钥（U 盾），并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控，称这些行为涉及的程序并非「一证通」软件的一部分 [5]。 在之后邮件列表的讨论中，BJCA 还提到 [6]： - BJCA 有两套分离的系统分别用来处理公共证书事务及国内证书签发事项，两套系统分别符合国际标准和国内标准。 - 在收到 Recorded Future 的分析报告后，BJCA 根据网信办的条例对软件进行了评估，并提交了评估报告。由于此报告涉及机密内容，且报告所涉的 CA 证书和此次向 Mozilla 申请加入证书库的证书无关，BJCA 无法公开此报告的全文。 https://bugzilla.mozilla.org/show_bug.cgi?id=1647181 1. https://ccadb-public.secure.force.com/mozilla/CAInformationReport 2. https://crt.sh/?caid=170425 3. https://crt.sh/?caid=174924 4. https://bugzilla.mozilla.org/show_bug.cgi?id=1647181#c14 5. https://bugzilla.mozilla.org/show_bug.cgi?id=1647181#c15 6. groups.google.com/~ linksrc: https://t.me/bupt_moe/1799 #CA#China