调查下,你们把 Wosign 根证书放到不信任列表了吗

2015-03-12 22:31:23 +08:00
 geekzu
RT,统计下
4258 次点击
所在节点    SSL
22 条回复
squid157
2015-03-12 22:39:33 +08:00
没有。而且CNNIC我也没动。

我相信有伪造证书的话HTTPSEverywhere会提示的。我觉得CA参与SSL中间人攻击只会让它很快被发现然后被所有厂商放在不信任列表中,没有人那么蠢自断财路。
NewYear
2015-03-13 00:15:38 +08:00
@squid157 赞同,不多说鸟,怕被B,哈哈哈
chromee
2015-03-13 00:26:53 +08:00
同楼上 没有
因为这能一直赚钱 不信哪个CA敢作大死
9hills
2015-03-13 00:46:31 +08:00
CA这种东西,一旦作恶,赖都赖不掉。签名在那里呢。

所以没人会冒着被浏览器吊销的风险搞事。。
wwqgtxx
2015-03-13 07:16:43 +08:00
怎么可能,好多网站都是这个证书
800126
2015-03-13 08:00:01 +08:00
楼主想表现一下逼格,你们也不配合下。
geekzu
2015-03-13 23:46:24 +08:00
@NewYear
@wwwww818
@9hills
@wwqgtxx
@800126
我自己也没有放到不信任列表,纯粹的统计而已,不带有主观意味。。。
msg7086
2015-03-17 13:54:48 +08:00
我是设置成访问时弹出提醒,这样既不会影响现有的网站,也能在将来MITM的时候起到防御效果。

CA出问题并不一定是WoSign出问题,而是有可能WoSign签发的CA证书再去签发有问题的证书。

@squid157
@wwwww818
@9hills
squid157
2015-03-17 14:12:52 +08:00
@msg7086 wosign的pathlen不是0?WoSign不是根证书颁发机构吧。

另:怎么每次弹出?
msg7086
2015-03-17 15:32:12 +08:00
@squid157 之前不是有个360CA就是WoSign签发的么。
弹出提醒是Opera的功能。IE和Chrome应该是没有的。
geekzu
2015-03-19 17:47:26 +08:00
@squid157 wosign有两个预埋根证书,一个是收购的,一个是自己的
另外wosign还买了几个交叉根
squid157
2015-03-19 21:17:56 +08:00
@geekzu 各系统和浏览器居然那么信任WoSign....
geekzu
2015-03-19 21:58:54 +08:00
@squid157 通过审计了,为什么不信任?只是因为是来自中国的?
squid157
2015-03-19 22:09:16 +08:00
@geekzu 想当年Firefox内置CNNIC,吵了很久。我当然是没有说不信任,只是随便感慨一下。
mackyzhan
2015-03-22 08:24:33 +08:00
从不信任大陆签发的证书,到处劫持干扰欺骗封锁的中国相关部门,有什么资格签发证书?!
geekzu
2015-03-22 22:39:39 +08:00
@mackyzhan 唔,这个并不是gov控制的
msg7086
2015-03-23 16:16:11 +08:00
#13 @geekzu 我相信 /t/169672 这个帖子你是读过的,那么你应该知道 WoSign 曾经给 360 签发过中间 CA 证书。
请问谁来审计 360 CA?
或许你愿意相信这个流氓公司,或许普通民众愿意相信这个流氓公司,可惜我不愿意。
既然 WoSign 滥签发,那为了防止信任链下的任一机构作恶,直接 ban 掉整个信任树是最快的了。
cnbeining
2015-03-24 09:06:00 +08:00
@msg7086 +1.

之前是将信将疑。

直到看见这个360的证书,啥也不说了,友尽。

连同中间证书全部拉黑。
mafuyu
2015-03-24 14:09:32 +08:00
@msg7086 总觉得你的吐槽点不太对啊,一个商人为了做生意卖给某流氓公司PKI然后就这样躺枪了...。按照这样说的话别家买了PKI的也能做坏事了?伪造证书这点应该是完全不用担心的吧,毕竟被发现了就是整个被删。

当然我比较想吐槽的是某CA的广告行为...简直是上个世纪的方法...
msg7086
2015-03-24 14:20:51 +08:00
@mafuyu 因为信任链的一环出问题而ban掉整个信任链并不是很过分的事情。
在欧美至少有法律保护,出了问题可以打官司让你赔个痛快,也有保险公司撑着,造成的损失都有人赔。
在一个非法制国家里,谁来保护你的权益?
说个难听点的,阿富汗/伊朗/巴*斯坦某科技公司推出了新的根CA,换你你愿意信任吗?

PS: 这次的xoxo事件又让中国在SSL圈子里的地位下降了 ;)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/176470

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX