StartSSL 的 PKI 平台已由奇虎 360 托管

2016-02-16 14:14:37 +08:00
 sharpkingdom

刚从 Hacker News 看到的新闻,链接如下:
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html

7020 次点击
所在节点    SSL
32 条回复
wql
2016-02-16 23:16:36 +08:00
@iF2007 如果真是这样,真可怕。
lhbc
2016-02-16 23:18:35 +08:00
据说 360 浏览器即使证书错误也会忽略然后请求页面的?求证。
另外,证书错误会发送已保存的 Cookies 吗?
ryd994
2016-02-17 03:05:57 +08:00
@lhbc 不会发送 cookies
要先 tls 握手成功才有 http 部分
lshero
2016-02-17 03:20:59 +08:00
对数字厂有点太较真了吧?突然想万一某天数字厂想恶心人给 openssl 和 libressl 捐点款,然后接下来该准备怎么弄?
initialdp
2016-02-17 09:22:21 +08:00
@lshero 那说明还有点内疚感。不过这种事会发生么?我个人觉得狗是改不了吃屎的。
DesignerSkyline
2016-02-17 09:54:46 +08:00
360 托管 PKI 平台只会降低安全性(一个小小的 Google 公共库镜像都不采用 HTTPS ,还有浏览器不会提示证书是否有效,足以证明),所以为了证书的安全性,建议不使用 StartSSL 的证书
typcn
2016-02-17 10:07:19 +08:00
@lhbc 是的 360 浏览器会忽略证书错误直接打开网页,带着你的 cookie 等信息
typcn
2016-02-17 10:07:35 +08:00
@lhbc *360 安全浏览器(激素没试过)
hanru
2016-02-17 10:26:02 +08:00
这是 360 要收购 startcom 的前奏?
lhbc
2016-02-17 11:35:14 +08:00
@ryd994
@typcn
找公司前端借了个测试虚拟机, 360SE 确实直接打开了证书错误的网站并发送了 Cookies
另外,所有 360 的网站,即使没有采用 HTTPS ,也显示类似 EV 证书网站的绿色地址栏
我只想说,作为一家安全公司,这太不专业了
另外翻到 CAB 论坛里关于 360 浏览器的几十封邮件, 360 的回复太不专业了
wwqgtxx
2016-02-26 00:28:58 +08:00
Cu635
2016-09-20 12:07:32 +08:00
@lhbc
不,这很专业:知道绝大多数使用 360 浏览器的用户看见绿色就直接认为是“没问题”,将来真的钓鱼的时候也是绿色就不会有人问了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/256838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX