TO: 石曉虹， 360 安全衛士， 北京奇虎科技有限公司

???? 我們公司于 10 月 28 日 10 點 20 分收到貴公司的在線舉報：舉報 WoSign 頒發的微軟代碼簽名證書的證書擁有者： HongZhongDe Operations Department ( 深圳市福田區宏中德經營部 ) 數字簽名惡意軟件，我們收到舉報后立刻按照我們的數字簽名惡意軟件舉報處理程序，采取了如下措施：

???(1)? 于 28 日 11 點聯系證書申請單位告訴有人舉報的事實，要求證書申請單位兩小時內給予有效解釋和采取有效措施及時刪除惡意軟件；

???(2)? 于 28 日下午 1 點把舉報代碼提交給美國總公司檢測部門檢查已經數字簽名的軟件是否屬于惡意軟件；

???(3)? 于 31 日 12 點正式吊銷此數字證書，使得證書擁有者不能再用此數字證書簽名任何軟件；

???(4)? 考慮到在吊銷證書之前，證書擁有者可能在數字簽名惡意代碼時使用了時間戳，所以我們采取了進一步行動，與 31 日 12 點 42 分要求美國總部人工修改證書吊銷列表，使得吊銷列表上的顯示的吊銷時間為證書簽發時間，這樣就保證了所有使用該數字證書簽名的代碼的數字簽名都自動失效；

???(5)? 1 月 4 日 18 點 58 分美國總部回復已經完成人工修改吊銷列表，證書吊銷時間已經修改為證書頒發時間。也就是說：我們采取行動保證了所有使用該數字證書簽名的代碼的數字簽名都自動失效，從而從源頭保證了惡意代碼不能借數字簽名來獲得操作系統信任。

??? 如果貴公司需要我們提供證書持有者詳細聯系信息，本公司將依有關法律法規在力所能及的范圍內予以協助。

??? 相信貴公司能從此事件中看出對軟件進行數字簽名的威力，只要軟件有數字簽名，就可以非常容易地讓殺毒軟件公司識別出軟件簽名單位名稱，并第一時間聯系證書擁有者和證書頒發機構，證書頒發機構就可以采取有效措施 ( 吊銷證書 ) 使得數字簽名永遠失效！而對于沒有數字簽名的軟件，即使貴公司發現有毒，也無法找到造毒者而無法采取相關的有效遏制行動。從這點來看，大家都應該一致倡導所有軟件都必須進行數字簽名，只有這樣才能從根本上遏制病毒和惡意軟件。

??? 最后，歡迎任何單位和個人舉報將 WoSign 頒發的數字證書用于數字簽名惡意軟件的行為。謹告知： 數字證書頒發機構為第三方數字身份認證中立機構，其責任是嚴格驗證證書申請單位的真實身份后頒發證書。并受理數字簽名惡意代碼舉報，查實后吊銷證書，并不承擔其他責任。

?

深圳市沃通電子商務服務有限公司

2010.1.8

轉載于:https://www.cnblogs.com/wosign/archive/2010/01/11/1643867.html

總結

以上是生活随笔為你收集整理的关于360举报恶意软件有数字签名的回复的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。