要删除 Wosign 沃通的 SSL 证书吗?最近 SSL 伪造的事件不少

2014-10-04 11:57:25 +08:00
 iButterfly
最近大规模官方劫持DNS伪造SSL证书:微软、谷歌、雅虎事件。
虽然目前用简单的假证书,但以后呢?
CNNIC证书很多人都放入不信任证书里面了。
Wosign沃通也是国内公司,命令它发证书,它能不给吗?

另外Wosign也是
AddTrust External CA Root(UTN - DATACorp SGC)
StartCom Certification Authority
的子CA。

系统可以把Wosign的根证书和子CA都单独加入不信任,而不影响AddTrust、StartCom的使用。
但是Firefox呢?似乎没有办法在不影响根证书的情况下不信任子CA。

Wosign在国内企业有一定使用量,不信任可能会造成国内一些网站的不方便。

@Livid 可以帮删除下吗?
https://www.v2ex.com/t/121528
https://www.v2ex.com/t/121642
25314 次点击
所在节点    SSL
61 条回复
Livid
2014-10-04 11:58:47 +08:00
关于你最后的问题,V2EX 的规则是,有人回复的主题就不能被删除。
ehs2013
2014-10-04 12:09:49 +08:00
一句话:我还没见过像印度一样利用验证过根证书的证书来进行 MITM 的事件。所以无论是 CNNIC 和 WoSign 还是 12306 及各类网银证书,都信任
CRight
2014-10-04 12:46:15 +08:00
CNNIC到目前为止还没做什么出格的事。
ChanneW
2014-10-04 14:06:46 +08:00
@Livid 但是楼主又是可是删掉回复的是吧.
Livid
2014-10-04 14:16:11 +08:00
@ChanneW 回复和主题只有管理员可以删除。
mornlight
2014-10-04 14:23:16 +08:00
没懂什么意思。wosign是商业公司,颁发假证书这种事应该不至于吧,他还要吃饭。
jasontse
2014-10-04 14:43:20 +08:00
WoSign 应该要定期接受 StartSSL 审计,问题不大。最怕的是 CNNIC 这种 Root CA,还有 Sinorail Certification Authority 这种自己安装的 CA。
YonionY
2014-10-04 16:09:06 +08:00
不能理解安装12306证书的行为,一年买不了几次票,买票的时候点一下继续访问不就可以了吗?
whywhywhy
2014-10-04 16:52:01 +08:00
这个问题讨论过多次了,受信任的证书机构,是受监督的,只要谁敢拿自己的来造假证书,很快就会被封杀,被取消信任,只要被抓一次就惨了,以前有信任的证书颁发机构被黑的情况,结果就是大家都不敢信任他了,后果很严重!
whywhywhy
2014-10-04 16:52:59 +08:00
@YonionY 5块钱ssl证书都买不起,你要淡定
Quaintjade
2014-10-04 17:46:20 +08:00
@whywhywhy 随着SHA-1破解成本越来越低,再过段时间,被抓也未必能打死。

比如它签发一个SHA-1签名的证书用于MITM,你截取了这张证书说是它伪造的,它反咬你一口说你背后有XX提供技术资金支持,花点钱破解伪造证书来构陷它。
在2016~2017年系统及浏览器逐步停止信任SHA-1之前,碰撞一个SHA-1的成本应该已经降到$50k以内了(已是保守的预计),而且美帝又有撞MD5的前科,说你截获的证书是碰撞出来的你很难自证清白。
whywhywhy
2014-10-04 18:08:37 +08:00
@Quaintjade 我对这个还真心不怎么在意,反正chrome和ie和ff能自动更新,银行自己也会注意,到不安全的时候自然就会采取措施了,比起这个,我更在意我肚子上的赘肉。
xoxo
2014-10-04 21:40:43 +08:00
楼主多虑了。

向楼主问几个问题:
1. CNNIC SSL不可信,你有伪造的证书的证据吗?
2. WoSign SSL不可信,你有伪造的证书的证据吗?

这是一个法制社会,谁主张谁举证,你拿不出证据,你的主张就不成立。




另外,从国际标准来说,
CNNIC SSL ROOT 和WoSign 1999 两个根证书,每年均需经过WebTrust审计,对系统安全性、PKI可靠性等多项指标进行评级。
如果有任何一家通过WebTrust审计的CA欲级任何攻击用户安全、威胁SSL信任体系的组织个人提供方便,WebTrust会立即进行事件评估,紧急通知各大操作系统(Microsoft、Apple、Linux Branches...)和各大浏览器厂商发布强制补丁,取消能做恶CA的信任。
历史上存在过一次相应的事件,荷兰的DigiNotar被伊朗黑客攻击,颁发国几个Yahoo.com子站和Google.com子站的伪造证书,被用户举报后纷纷被各大浏览终端、系统厂商和谐掉,然后这家公司就破产了。


如果CNNIC SSL胆敢做出类似行动,不仅仅是威胁中国网民网络安全那么简单,更会让中国经济环境变得恶劣(一家政府部门都公然欺诈),国际社会会被这个国家做出制裁的!

退一步讲,WoSign虽然是一家商业公司,没有政府职能,但一旦被发现有欺诈的痕迹,迅速这家公司也会破产,其累计数据的信任资源和品牌投入毁于一旦,得不偿失!


综上,楼主多虑了。




________________________________________
xoxo 原创,
未经授权,禁止转载.
Quaintjade
2014-10-04 22:48:11 +08:00
@whywhywhy 这里指的显然不是银行。


@xoxo
“不仅仅是威胁中国网民网络安全那么简单,更会让中国经济环境变得恶劣(一家政府部门都公然欺诈),国际社会会被这个国家做出制裁的!”

TSSN...
美国以色列搞伊朗时就造过假证书,然后呢?

假证书搞垮一家证书商还有可能,影响经济坏境什么的是想多了。
而且如我在11楼所说,接下去两三年,就算你抓住了那张证书,都难以完全证明那是证书商签发的。
whywhywhy
2014-10-05 03:15:01 +08:00
总结:所谓的危险性,在于你的重要性,你重要,则这些手段根本无法防范,你不重要,就算满电脑漏洞也没人利用。

@Quaintjade 这么说吧,你删不删都没意义,为什么没意义?命令qq公司给你下载个临时的证书机构在你电脑上,命令360公司下载个证书机构在你电脑。命令你电脑所有国产软件公司导个证书轻而易举。完事后还能自动删除。不留痕迹。

你电脑一般来说还会装有银行的,支付宝的认证机构。反正信任的机构不是一个两个,你自己可以去翻

你删,你尽情的删。

我为什么我说轻而易举?因为什么事情都得看是站在什么角度去处理,从国家的角度去考虑得失,企业又如何能不配合?
换句话说,给你1亿让你离婚你离不离?这是答应的结果,不答应的结果,呵呵,呵呵,很多事情不是道理、正义、和谐就能赢的。讲道理有用,那还训练什么军队,搞什么核弹?全世界几百个国家讲讲道理,世界和平就到来了!?

企业一配合那还了得!导个证书几行代码就搞定的事情。

不答应?谷歌还能退出中国,你叫腾讯叫360给我退出中国看看?

你们只考虑到一个信任机构被装在电脑了,你可想过没有那些装在你电脑上的软件,给你装个证书进去是何其容易?

非要这样去恶劣的想,你还真的太低估了,任何人都是没办法和国家为敌的,你想到的永远是片面的。

或许你可以不用这些软件,但是你永远无法阻止所有人不用……就算你不用这些,也保证不了任何软件都不存在后门,因为后门真的很容易……也就是几行代码的事情。

总结:所谓的危险性,在于你的重要性,你重要,则这些手段根本无法防范,你不重要,就算满电脑漏洞也没人利用。
Quaintjade
2014-10-05 10:24:26 +08:00
@whywhywhy
你又想当然了。
实际上我删过,然后发现国内这些证书删掉后对网银、支付宝一点影响都没。
明白了吧?因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书(忘了哪个域名),用自签证书只是因为把真证书部署在人家CDN上有风险。

完事后自动删除,说得好像轻轻松松,但加证书就是为了常驻一段时间(否则既然能塞根证书,什么权限不能有?),这段时间内就有机会被抓。

然后你后面的那一大堆完全是在无限扩大概念,却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性,反观你举的那些例子全都只是在极端情况下有可能。
Quaintjade
2014-10-05 14:05:15 +08:00
找到了,12306由Verisign签发的证书: https://epay.12306.cn/
用自签证书的另一点理由是,有些证书(尤其像verisign之类的OV以上级别)会限定IP数量,添加IP要加钱,这样CDN就太费钱了。
whywhywhy
2014-10-05 14:33:17 +08:00
@Quaintjade 你就是想说,我家里的门上有一把锁,为了防止万能钥匙开启,干脆就把钥匙孔封住了,于是你认为安全了,但是强盗要进你家门,直接拿炮轰开就好了,会和你拿钥匙吗?(删除国内证书机构,自认为安全)

平白无故的谁又来拿炮哄你家门?花这么大成本对付你有什么好处?(花大成本去伪造,你值得谁去这么做?)

做一件事情之前,先考虑下得失,先考虑下前因后果,你总是把自己列为重要人物,国家要追杀你,要监听你……(你有被害妄想症吧)

你是不是想太多了?就算监听,你又有什么特别的可以监听的?你上个1024网有什么好在意的?你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多,你觉得自己有什么可以被监听的,有什么独特的,事实上你也就一普通人,你有的别人都有,你在做的别人都在做,你所有的缺点,欲望,贪心,恐惧,无安全感,在别人身上也都有。(你在自己眼里很特别,但是在别人眼里,你也只是凡人一个,就算你在某方面很强悍,但是进入到尖端人才的圈子里,你又能位列第几?)

就算你有三头六臂……那又有什么奇怪的,双头人都出现不止一个了,双性人也证明是存在的(就算你真的很特别,特别的人你也不是第一个存在)
Quaintjade
2014-10-05 18:41:56 +08:00
@whywhywhy
你到底有没有看清我在谈论什么?
我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息?我根本没在说这事好吧!

我在说的是,CA可以零直接成本地签发假证书,而你以为的吊销CA资格等巨大间接代价未必会发生,这就是我在说的。我提到的几十万美元是反咬时可用的借口,实际上根本没人付出这笔钱,懂不?

你说的一切都是建立在伪造成本过高、得不偿失的基础上的。但如果成本几乎为零,而且是非针对性的大范围覆盖,那就有可能发生——参考某墙。
别以为你要有多特殊才有人监控你。没人有意要监控你,只是顺便把普通的你覆盖了而已。
whywhywhy
2014-10-05 19:01:45 +08:00
@Quaintjade
"我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息?我根本没在说这事好吧!"

"CA可以零直接成本地签发假证书,而你以为的吊销CA资格等巨大间接代价未必会发生"

"但如果成本几乎为零,而且是非针对性的大范围覆盖"

"没人有意要监控你,只是顺便把普通的你覆盖了而已"



从你的文字里我明白了这几件事情,没有人在意我,我只是被无辜的覆盖,这样的操作0成本。



****既然我是无辜的,既然不针对我,我也是守法公民,我担心个毛线?被监听一下劫持一下又有什么关系?****


另外"CA可以零直接成本地签发假证书“,风险也是成本的一种好吗?我从楼上丢个石头下去,砸死人也是零成本的,但是风险呢?风险难道就不是成本的一种?吊销资格的结果是什么你懂我懂大家都懂。

全世界那么多国家有CA证书颁发的机构,谁都有可能伪造,那何必搞什么信任列表?你直接让大家清空就好了。(任何一家都无法完全避免人为造成伪造证书的事情)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/136996

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX