为什么 SSL 证书会被 Windows 自动添加

2014-06-25 12:20:43 +08:00
 caizixian
这个描述貌似有些不清楚
就是昨天我提到的WoSign问题 /t/119312
证书部署什么的都是在Ubuntu开发机上弄的
我拿了台Win7机子试了下
我确认我的Windows系统没有Class 1 Primary CA
当我尝试访问我自己放置上WoSign证书的站点时,Chrome的锁是绿的,再打开certmgr,就出现了Class 1 Primary CA
@xoxo @ehs2013 有解释 但我不是十分明白 大家能不能解释一下这是怎么出现的 该如何解决
这是不是也意味着,以后出现新的国内CA后,访问一次有该证书的网站,证书就会被自动添加到机子里,这不是太坑了
3502 次点击
所在节点    程序员
14 条回复
oott123
2014-06-25 12:24:48 +08:00
为什么不信任国内 CA 呢…
这些 CA 也是靠 VeriSign 之类的 CA 签信任链的吧…
那是不是相当于 VeriSign 签的你也不相信了呢…
又不是铁道那种自签名的 CA …
jerryjhou
2014-06-25 12:32:51 +08:00
@oott123 (他们)主要是不信任Gov,(他们认为)天朝Gov有能力强迫任何国内CA签发用于中间人攻击的证书
oott123
2014-06-25 12:34:56 +08:00
@jerryjhou 那样这家 CA 不就完蛋了么…
签也完蛋,不签也完蛋╮(╯▽╰)╭
jerryjhou
2014-06-25 12:37:29 +08:00
把WoSign放进不信任证书列表,不然会根据StartCom(就是StartSSL)的根证书信任自动信任

@oott123 他们的证书签发对象居然包括 “内容审查机构”
billlee
2014-06-25 13:02:42 +08:00
因为这是一个 suboridinate CA, 上面有被信任的 root CA 的签名,所以被信任了。
Suboridinate CA 的安全性是近两年来才引起关注的,在 2011 年发生了 Entrust, Inc. 的一个 subridinate CA 签发了弱密钥证书的事件。
https://blog.mozilla.org/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/

现在 Mozilla 的政策是要求 suboridinate CA 的 policy 必须符合 super CA 的 policy. Super CA 要每月对自己的 suboridinate CA 做审计,并且不允许 suboridinate CA 再给第三方 suboridinate CA 签名。
caizixian
2014-06-25 13:28:58 +08:00
@jerryjhou
@billlee
正解 问题是在certmgr中根本看不到wosign 只有我昨天在/t/119312 贴出来的 Class 1 Primary CA
billlee
2014-06-25 13:34:13 +08:00
@caizixian certmgr 好像不会保存 intermidate CA, 可以用 Firefox 打开用了这信任链的网站,然后就可以在 Firefox 的证书管理器里面把 intermidate CA 导出来。
caizixian
2014-06-25 14:06:39 +08:00
@billlee 我昨天打开网站后certmgr才出现的 说明会保存新的intermidate CA /t/119312 中的cer就是从certmgr导出来的
devz1984
2014-06-25 14:38:26 +08:00
太洁癖了。

国内的CA不信任的话, 以后是不是每个网站的认证都要打开看看。
ehs2013
2014-06-25 17:16:59 +08:00
Verisign 中国的证书也不要新人就好了
嗯,就是那个 Verisign Class 3 CA
woyao
2014-06-25 17:46:06 +08:00
wosign被windows内置了,在xp最后一次补丁的时候。
billlee
2014-06-25 17:59:07 +08:00
@woyao 你确定?内置证书是要通过 WebTrust 审计的啊
wy315700
2014-06-25 18:01:10 +08:00
我想知道LZ有什么需求要对SSL证书那么关注。
woyao
2014-06-26 10:07:35 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/119437

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX