关于 Linux 下的证书吊销

2015-03-25 11:38:54 +08:00
 caizixian
目前这方面是相当混乱的

以KUbuntu举例
ca-certificates包,KDE系统设置中的SSL首选项,Chrome的证书列表都是各自为政,Windows底下则certmgr.msc就好了

顺便说一下,刚刚才发现WoSign已经在各个平台、浏览器里扎根了,真的是一件相当可怕的事情。
4037 次点击
所在节点    Linux
12 条回复
chromee
2015-03-25 12:39:36 +08:00
wosign怎么了 看起来wosign也就是个坑钱的
提供免费的DV证书也算良心了
vietor
2015-03-25 13:13:46 +08:00
为了彻底删掉WoSign,我把它的上级StartCom给删除了。
chinvo
2015-03-25 13:19:56 +08:00
@vietor 你可以不信任 Certification Authority of WoSign,WoSign的根
chengr28
2015-03-25 13:23:51 +08:00
@chinvo WoSign 这个只把根弄掉现在没什么用……你看他们官网现在还是 StartCom 签的交叉根证书,本身他们就有一大堆,参见: https://github.com/chengr28/RevokeChinaCerts/wiki/ReadMe_Online(Chinese_Simplified)#%E6%B6%89%E5%8F%8A%E7%9A%84%E8%AF%81%E4%B9%A6
chinvo
2015-03-25 13:29:33 +08:00
@chengr28 Certification Authority of WoSign 就是 StartSSL 簽的那個,他的其他根也都是自簽的從這個信任的。目前block這個之後測試效果良好。
leyle
2015-03-25 13:53:39 +08:00
看了下 https://buy.wosign.com/ 下方的客户列表,很多大厂在用啊。
phoeagon
2015-03-25 14:47:19 +08:00
@chengr28 其實是NSS的話,貌似一般找到Wosign的Root之後就不會往上找了,所以在NSS上吊銷掉root有用。系統內置的openssl的證書驗證的話只要信任了其中某個根就無解了。(其實NSS雖然說比較好用但是這個確實是超過了CA系統的spec要求實現的內容了。。。。
phoeagon
2015-03-25 14:48:51 +08:00
我作爲@chengr28的RevokeChinaCerts裏Linux和Android部分的author來告訴你,ca-certificates只管OpenSSL。Firefox和Chrome都是基於NSS的。還有其他一些諸如GNUTLS的實現也可能是獨立的certificate store。:-D
chengr28
2015-03-25 17:48:05 +08:00
@phoeagon 不太清楚 NSS 的工作机制……不过如果是 Windows 的话,交叉证书(StartCom 签的之类)和他们自己的根证书在系统看来是两张没有任何关系的证书,所以禁用他们自己的根证书其它交叉根证书不禁用也是可以用的,不清楚 NSS 是不是这种情况
seki
2015-03-25 18:02:38 +08:00
@leyle 只要某公司有一个小网站或者内部网站用了他家的证书,他就敢写是客户……
julyclyde
2015-03-25 20:19:07 +08:00
@seki 这么写有问题么?
seki
2015-03-25 20:46:08 +08:00
@julyclyde 没问题,但是很容易让人想歪

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/179230

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX