Apple 什么时候会将 StartCom CA 移除出信任列表,尤其是 iOS 系统?

2016-09-29 07:09:38 +08:00
 nvidiaAMD980X
如题, StartSSL 的名声已经完全臭了, macOS 可以手动移除它,而 iOS 系统非越狱状态下无法移除 StartCom 的 CA ,刚才查看了下, iOS10.0.2 还是默认信任 StartCom 的 CA ……………令人不安
4589 次点击
所在节点    SSL
12 条回复
SourceMan
2016-09-29 07:59:08 +08:00
为什么令人不安?
243205964
2016-09-29 08:04:01 +08:00
@SourceMan 因为 令人不安 前面的一长串…
Cavolo
2016-09-29 08:04:55 +08:00
cnnic 最后怎么处理了
JJaicmkmy
2016-09-29 08:13:07 +08:00
@Cavolo 没记错的话,苹果现在还是信任 CNNIC 的,而且 macOS 可以手动移除所有其他证书,就偏偏不能移除 CNNIC 。
Tink
2016-09-29 08:15:11 +08:00
只要不作恶的话没啥问题吧
sinxccc
2016-09-29 08:37:08 +08:00
作为个人随便你自己怎么搞,总之自己承担验证未知网站的风险,作为系统 CA 的维护不可能轻易作出彻底移除某个 CA 证书的操作,除非最最恶劣的情况发生——目前为止还没有先例吧?

CNNIC 印象中 Mozilla 也只是不信任从某个时刻开始的所有证书。
EricCartman
2016-09-29 10:07:27 +08:00
Android 好一些,已手动禁用 StartCom 和 WoSign 还有 CNNIC 的证书, Windows , MAC , Linux 上也用了这个工具移除了: https://github.com/chengr28/RevokeChinaCerts
nvidiaAMD980X
2016-09-29 13:36:56 +08:00
@JJaicmkmy 连 CNNIC 的官网都不用自己的 CA 了,换成了 digicert 的 CA ………不知道 Apple 是怎么想的………
redsonic
2016-09-29 21:23:50 +08:00
我现在越狱 iOS 的唯一理由就是撤销这些 CA 的证书。
bernardx
2016-09-30 23:28:19 +08:00
你移除一堆系统信任的证书,除了自己感觉不错,顺带几个用证书签名的网站打不开了,有其他任何实质性帮助吗?
难道你就从来不上非 https 的网站了? 国内又有几个 app 走的是全 https 呢
nvidiaAMD980X
2016-10-01 00:22:26 +08:00
@bernardx 我发现我现在真的很少上非 HTTPS 的网站………而且我的 iPhone 除了几大银行的 App 外,几乎不安装大陆的 Apps , WeChat 和 QQ 之流,我只在电脑端的虚拟机中使用…………
Technetiumer
2016-10-02 13:30:08 +08:00
哪天 let's encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵

comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/309663

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX