Einem jetzt vorgelegten Bericht zufolge hat WoSign nicht nur falsche Zertifikate für eine GitHub-Subdomain ausgegeben. Es stellte auch rückdatierte Zertifikate mit unsicherem SHA-1-Algorithmus aus und stritt seine Übernahme der israelischen CA StartCom ab.
