Apple blocked trust for WoSign CA Free SSL Certificate G2

2016-10-01 18:15:06 +08:00
 manhan9100
https://support.apple.com/en-us/HT204132
5675 次点击
所在节点    SSL
51 条回复
nvidiaAMD980X
2016-10-01 18:32:24 +08:00
Apple 终于有所动作了,可惜力度不大,
StartCom 已经和 Wosign 是一家的了………
应该把 StartCom 的三个 CA 也拉黑!
ldbC5uTBj11yaeh5
2016-10-01 18:33:25 +08:00
🍎💊,库克看来铁了心要退出中国。
yexm0
2016-10-01 18:51:55 +08:00
希望微软也跟上。
wql
2016-10-01 18:56:53 +08:00
@nvidiaAMD980X 目前看来暂时不会禁止 StartCom 。这次在苹果看来只是禁止了 StartCom 下面一个中级 CA 叫 WoSign CA Free SSL Certificate G2 在 9 月 19 日前签出的证书。
nvidiaAMD980X
2016-10-01 18:57:31 +08:00
@jigloo 反正大陆的 GDP 离不开 Apple ,
我还是觉得 Apple 对于 SSL 安全的的重视程度不高
如果不移除 StartCom ,只是拉黑 Wosign CA ,无异于缘木求鱼。
EricCartman
2016-10-01 19:01:38 +08:00
@jigloo 苹果连中华民国国旗的 Emoji 都屏蔽,怎么可能不心向党国
Quaintjade
2016-10-01 19:04:09 +08:00
@wql 是禁了 9 月 19 日以后签发出的证书。 9 月 19 日及之前签发的证书仍有效直到过期。
ldbC5uTBj11yaeh5
2016-10-01 19:10:20 +08:00
之前 cnnic 的时候,苹果的态度很暧昧和迟疑。最终还是犹抱琵琶半遮面的偷偷拉黑了。

这次如此积极和高调,而且比上次算的上重手。我闻到了一丝铁幕降临的味道。
ehs2013
2016-10-01 19:10:30 +08:00
免费证书出了问题就封掉。其他签发的出了问题再处理就可以嘛
jasontse
2016-10-01 19:36:06 +08:00
@ehs2013
证书颁发流程出了问题就算你是 Symantec 也照样 ban ,一家 CA 最重要的就是信用和可靠。
http://www.freebuf.com/news/89530.html
rrfeng
2016-10-01 20:02:19 +08:00
我们是 WoSign Class 3 OV Server CA G2 的
好可怕……得赶紧换
AirSc
2016-10-01 20:31:18 +08:00
来翻译一遍:

Apple 屏蔽 WoSign CA Free SSL Certificate G2 ( CA 沃通免费 SSL 证书)

CA 沃通的中级证书 WoSign CA Free SSL Certificate G2 目前在发放证书过程中遇到了许多控制权验证的问题。尽管在 Apple 的根证书信任列表中没有沃通根证书,但是其与 StartCom 和 Comodo 建立了交叉签名的关系。鉴于这些发现,我们在即将到来的安全更新中将采取措施来保护我们用户的安全。 Apple 的产品将不再信任 WoSign CA Free SSL Certificate G2 颁发的证书。

为避免影响现有的沃通证书持有者,我们将会给他们一段时间以过渡到那些受信任的 CA 。 Apple 产品将继续信任那些在 2016-09-19 前从这个中级 CA 获得的证书以及公开 Certificate Transparency (证书透明度)的人。除非证书过期,被吊销,或经过 Apple 的考虑进行吊销,这些人依旧能够继续使用他们的证书。

目前调查仍在继续,如果需要,我们将会在 Apple 产品中对 WoSign/StartCom 采取进一部措施,以保护我们的用户。

via. https://www.airscr.com/archives/1769.html
seki
2016-10-01 20:33:33 +08:00
想问一下这个是不是需要安装更新,还是说会另外(静默)推送给用户?
nvidiaAMD980X
2016-10-01 20:41:30 +08:00
我觉得 Apple 应该放开根证书的变动权限,效仿 Android ,可以让用户自动选择是否拉黑证书,
若是如此,用户可以第一时间得到安全保障,也可以促成由“下对上”的监控,让 CA 证书的颁发者不敢作恶。
nvidiaAMD980X
2016-10-01 20:42:30 +08:00
@seki 估计是 iOS10.0.3
ehs2013
2016-10-01 21:07:57 +08:00
@jasontse 我看他也是把出问题的 ban 掉了啊, Symantec 的 VeriSign 根证书也没吊销啊。你这自打脸打的真棒
Cavolo
2016-10-01 21:41:51 +08:00
iOS 的证书更新必须依赖 iOS 版本更新这个问题很大啊
Cavolo
2016-10-01 21:43:41 +08:00
@jigloo 没有啊, https://support.apple.com/en-us/HT207177 最新 iOS10 里面依然包括 cnnic 证书
ldbC5uTBj11yaeh5
2016-10-01 21:46:52 +08:00
seki
2016-10-01 22:09:22 +08:00
@ehs2013 这和免不免费没关系。 symantec 这个事件是有记录可查的,谁签的,怎么签的,有没有泄漏,影响范围有多大都能确认。而 wosign 完全做不到这一点。
要类比的话可以看 DigiNotar ,被黑客黑了之后直接破产

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/310175

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX