浏览器会对 CA 签发的证书做真实性的校验吗？

浏览器只能提示该证书是否可信，不会判断是哪个 CA 签发的证书的……理论上除了已知的一些伪造的 SSL 会被提示出异常情况，其他的不会提示的。。

hpkp 设置好了发现异常证书会自动上报给你设置的 URL

@shiji 这个方法挺好，看起来好像是在证书里预先设定的
这个 URL 每个用户都可以设置的吗？

这是一个正常行为啊，一个域名可以从不同的 CA 购买证书，只要 CA 合法(受信任)，证书没有吊销、过期等，都是合法的。

浏览器是识别不了这种中间人攻击的(Firefox 也一样，“被浏览器信任”)。如果在 APP 中是自己写的 https 客户端可以，可以 APP 内置受信任的 CA 、甚至内置证书 public key(或起 hash)来比对。

@v1024 看到这个 ‘简单说来，证书所有者或者 CA 都可以主动向 Certificate Logs 服务器提交证书’
是不是这个证书的透明性是需要 CA 自律的？
假如偷偷签发了，使用了一段时间就不用， Certificate Transparency 会不会发现不了？

@wuruxu 目前这个只有 Chrome 支持，范围有限，所以都是持有者去提的。目前这个不能 100%解决问题，但是一个方向。

有了这个东西， let's encrypt 怎么玩啊

CA 的在互联网中的身份就像一个公证处。在不可信的互联网中，计算机通过信任数量极少的 CA 来保证它不会陷入怀疑链。也可以说，互联网的安全依赖 CA 的个人诚信。

后来，某国的某 CA ，违背自己的诺言，发了一张假证书。被揭露后，大量计算机不得不取消对此 CA 的信任。

@jininij 怎么才可以更有效的发现一些 CA 的不端行为，这很重要

@wuruxu
再补充一个技术：
https://imququ.com/post/http-public-key-pinning.html

据说 wosign 就签了个 github.com 的证书

@BOYPT 而且还有效

https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com
翻译: http://www.techug.com/how-wosign-gave-me-an-ssl-certificate-for-github

wosign 签的 github 的证书 https://crt.sh/?id=29647048