沃通根证书出了个大新闻!

2016-08-25 19:36:00 +08:00
 nvidiaAMD980X
根据外媒报道
Mozilla 可能采取的行动包括吊销沃通 CA 证书。沃通 CA 是中国最大的 SSL 证书发行商之一,它声称中国市场每 3 张 SSL 证书中就有 1 张由沃通 CA 签发,如果吊销沃通 CA 证书,可能将会影响很多中国网站

…………………………………………………………………………………………………………
各位怎么看??
另外,好像 AddTrust External CA Root 也和沃通 CA 有关联,它是神马背景的,需要加入不信任列表吗?
9377 次点击
所在节点    SSL
18 条回复
namebus
2016-08-25 22:21:00 +08:00
感觉他们这是作死的节奏, AddTrust External CA Root 是 Comodo 的 Root ,之前给他们发过交叉,现在 Startcom 和 WoSign 是一家的,都属于 360 旗下控制的两家 CA ,所以性质是完全不一样的。

http://www.cnbeta.com/articles/533005.htm
1 、 2015 年 4 月 23 日左右,沃通 CA 允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;
2 、 2015 年 6 月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名( Base Domain )的证书,如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.comgithub.iowww.github.io 的证书;
3 、 2016 年 7 月,与沃通 CA 有关联的 StartCom CA 被发现允许证书倒填日期,倒填日期能绕过浏览器对 SHA-1 算法的限制。
namebus
2016-08-25 22:31:20 +08:00
刚刚看了, Comodo 给 WoSign 交叉的是 UTN - DATACorp SGC 这个 Root ,但这个 Root 在 Windows 下已经不可信, AddTrust External CA Root 没有给 WoSign 签发过交叉
Sunyanzi
2016-08-25 22:58:29 +08:00
沃通的 CA 不是一直都不可信 ..? 现在沃通签出来的免费 SSL 是 StartCom 的 CA ...
namebus
2016-08-25 23:24:49 +08:00
@Sunyanzi 在 Windows 和 Firefox 下已经是可信的了,但在 iOS 和 macOS 下都是不可信,所以使用 StartCom Root 做交叉。
nvidiaAMD980X
2016-08-26 18:39:55 +08:00
@Sunyanzi
@namebus 还有 Android6.0 的 CA 证书列表中是默认信任沃通 SSL 的,必须手动拉黑…………不知道 Android7.0 是否发生变化?
nvidiaAMD980X
2016-08-26 19:35:17 +08:00
@namebus UTN - DATACorp SGC 不是 US 的 CA 机构颁发的吗?它什么时候给 Wosign 交叉授权的?
nvidiaAMD980X
2016-08-26 19:45:31 +08:00
@namebus 不对啊,根据这篇文章, AddTrust External CA Root 给 Wosign 交叉授权过。
https://github.com/JayXon/AntiChinaCerts/blob/master/README.md
namebus
2016-08-26 23:58:37 +08:00
@nvidiaAMD980X 就你发的这个 Github 里的链接可以看出,给 Certification Authority of WoSign 签交叉的是 UTN - DATACorp SGC 签发, WoSign 和 WoTrust 几个中级证书是由 UTN-USERFirst-Hardware 所签发, AddTrust External CA Root 有给 UTN-USERFirst-Hardware 签了交叉,所以 WoSign 和 AddTrust External CA Root 是间接关系,没有直接关系。
而直接给 Certification Authority of WoSign 签交叉的 UTN - DATACorp SGC 因为没能过审核,现在已经作废了,在 Windows 和 Firefox 下已经不可信,但 macOS 下目前还没有移除,应该在下一个版本中会移除这个 Root 。

以下几个 Root 均属于 Comodo 公司
UTN-USERFirst-Hardware
UTN - DATACorp SGC (已作废)
AddTrust External CA Root
nvidiaAMD980X
2016-08-27 00:45:52 +08:00
@namebus 刚才看了看我的 Nexus6 , UTN - DATACorp SGC 也是默认信任………看来得晚上起床,拉黑 macOS 和 Nexus 平板的相关 CA 了…………
namebus
2016-08-27 15:45:44 +08:00
@nvidiaAMD980X 这个 UTN - DATACorp SGC 可以放心的拉黑了:

https://bugzilla.mozilla.org/show_bug.cgi?id=1208461
https://code.google.com/p/chromium/issues/detail?id=538572
VmuTargh
2016-08-28 16:56:12 +08:00
不得不说一句 wosign 的广告很恶心
VmuTargh
2016-09-02 21:57:21 +08:00
哦 现在真出事了 连着 startcom 的一起干掉吧
sojingle
2016-09-03 00:40:22 +08:00
好吧...干掉 StartCom ...
redsonic
2016-09-03 09:59:53 +08:00
为什么主流的操作系统不提供一个简便的 CA 开关,让用户选择信任哪些 CA ,就像 IOS 越狱后那个插件。现在都是靠一些插件, msc , linux 甚至要重新编译代码才行。而且巨硬会后台更新证书(不是 windows update ),这样 CA 证书的增删改更不透明。
nvidiaAMD980X
2016-09-03 14:38:38 +08:00
@redsonic Android6.0 做得不错,可以手动拉黑不信任的 CA 证书, macOS 的证书列表也可以手动拉黑自己不信任的 CA 证书,但是 iOS 就缺乏这种手段了, iOS9 的 UCA Root 和 UCA Global Root 就是两大毒瘤,不知道 iOS10 是否已经移除这些 CA ………… Windows 连 CA 列表都不给,还必须自己导入后拉黑……………
wql
2016-09-03 23:31:53 +08:00
深挖了一下沃通。
以下信息均基于工商登记信息和已经公开的可信信息。
沃通:王高华,张千夫和三家奇虎三六〇全资子公司(占大头)合资建立。
世达康(深圳):以色列 startcom 全资成立于前海的马甲
startcom:据称已经被王高华控制
真是
qiezifxj
2016-10-09 13:01:42 +08:00
欢迎使用腾讯云免费证书, 跟 V2EX 一样的 TrustAsia DV SSL CA - G5. link: https://console.qcloud.com/ssl
不过不支持 *.v2ex.com 这种泛域名。
zhangneww
2016-12-14 10:28:43 +08:00
@qiezifxj 貌似和七牛的免费证书是一样的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/301768

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX