近日，有网友在 Google group 上发帖称，发现 StartCom 签发了几个明显的假证书：
https://crt.sh/?id=146437565
Subject:

commonName                = ov 
organizationName          = test 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = Beijing 
serialNumber              = 123456 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

https://crt.sh/?id=146484676
Subject:

commonName                = iv 
givenName                 = Jeremy 
surname                   = Liao 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = CN 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

https://crt.sh/?id=146517428
Subject:

commonName                = ov 
organizationName          = test 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = Beijing 
serialNumber              = 123456 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

奇虎 360 旗下的 StartCom 之前已经被大部分浏览器取消信任，但现在又签发了假的证书，包括最高信任级别的 EV 证书。该网友表示，这些证书在主流浏览器上将不被接受，但是由于他们的根证书仍然在 NSS 信任存储中，所以对于这种明显的违规行为还是值得探究的。

对此，StartCom CEO Iñigo Barreira 回应称，他们是为了测试而签发了假的证书，证书已被立即撤销。他随后进一步解释说，StartCom 的团队位于中国境内，他们正在实现 Google 维护的 CT log（证书透明），但由于*而遇到了一些问题。他们提出了一个解决方案，在进行测试时候签发了这些假的证书。

文章转载自 开源中国社区 [http://www.oschina.net]