insiderman 曰く、

無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し＜プロジェクト名/ユーザー名＞.github.ioや＜プロジェクト名/ユーザー名＞.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる（GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba）。

さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。