Google 宣布旗下产品不再信任 CNNIC 根证书 + CNNIC 的回应

你那个不是起作用了，是他使用了 SHA1 的证书

起作用的话应该是红色的证书错误提示页面

sha1 + 1

信用破产，就不被信任了。
重建信任，需要的时间会很久。

所有提示页面不信任的显然是自己不信任了 CNNIC 的根，这样的话要是能信任才怪呢。
还有，楼主你贴出来的这个图没有任何意义。Chrome 提示这个是因为这个证书是 SHA-1 的证书，跟本次事件毫无关系。

@Biwood
@lisonfan

你们是吊销了CNNIC的证书吧，还是姿势不对，我刚更新最新稳定版本（32位）还是正常打开。 你们又能打开 https://www.22.cn ？ 这货就是CNNIC证书，早就警告过他们了

@Daddy 已有的网站证书不受影响（可能不少中级证书也没问题），但不信任新颁发的。
嘛对于「监管不力」（这是现在唯一能定的罪，「CNNIC 指使 MCS 做假证书」没有证据可以证明它）也算是合理的反制了。

@infinte 你说的不对。我另一台机刚也升级到最新的稳定版本（64位），经过测试，无论32还是64，最新稳定版本，都能正常打开cnnic和22的网站，没有楼上那些不信任的提示啊

@Daddy 已有的不影響

@infinte 楼上13/17楼的截图就是打开已有的CNNIC网站的声明网页。 当然他们还没回应是否是他们自己吊销了CNNIC证书，我就是想弄清楚。

@Daddy 另外现在尚不清楚「白名单」针对的是三级证书还是中级证书——CNNIC 的「罪名」是「监管不力导致什么阿猫阿狗都能当中级 CA，他们要是干坏事那还了得」，考虑到中国小网站太多而中级 CA 并不多（主要就是一个 CNNIC SSL），给中级 CA 建白名技术上更可行。

Secure Connection Failed

An error occurred during a connection to www.22.cn. Invalid OCSP signing certificate in OCSP response. (Error code: sec_error_ocsp_invalid_signing_cert)

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.

我自己编译的firefox上22.cn会这样。一直手动从mozilla-central/security/nss/lib/ckfw/builtins/certdata.txt删除cnnic相关的内容

来龙去脉可以看看可能吧的一篇文章“最危险的互联网漏洞正在逼近”
https://kenengba.com/post/3336.html
概括来说就是“DNS 劫持+权威机构颁发的伪造证书”

开一下脑洞，YGBM规定所有国内网站都必须使用CNNIC证书会怎样？不知道是否有这种权力

已有的、被列入白名单的证书，暂时还会允许连接
但是地址栏不会有绿锁，并且会提示将在以后的版本中移除
https://twitter.com/yegle/status/583504668916973568

只是为了尽量减少对现有用户的影响吧，让网站那边有时间切换到其他 CA

另外我好奇啊，CNNIC 要怎样才能「保障已有用户的使用不受影响」？

好样子的 国内那些狗屁信誉认证啥时候也让浏览器厂商来一击

我擦，还充分考虑用户感受，你MB的国内能访问的了么？

@Daddy 打不开

@Daddy 这是一个什么网站？

@sneezry 360也凑合了，两方面考虑，不至于被一方势力一招致命。均衡才是王道。