关于 Mozilla 的国际影响力

2016-10-09 22:27:20 +08:00
 Explorare

Mozilla 最终给了 WoSign 一个 Bad End ,这个诸位应该都比我知道的清楚。我就比较好奇 Mozilla 做出的这个决定究竟会对业界产生怎样的影响呢,他旗下产品会吊销 WoSign 证书,比如 Firefox 和 Thunderbird ,然而主流还是 Chromium 内核的浏览器。或者说在 Mozilla 做出这个决定后,会推动其合作伙伴陆续加入这个行动?诸位怎么看呢? ps.请不要讨论关于隐私价值、监听成本等话题,是否信任某个证书是个人自由,吊销某些证书是否能维护通信安全和言论自由每个人心里都有数,请开新帖讨论。

3788 次点击
所在节点    SSL
26 条回复
wayslog
2016-10-09 22:40:14 +08:00
这事儿不是 Mozilla 的影响力问题,事实上 Mozilla 也没义务和行动去向其他人推广什么。只需要把事实摆开,证据拿出来,不用它推动,自然有责任心的厂商组织会去吊销 WoSign 的。毕竟信任才是这一套证书系统的基石。就好比你有一天发现了某个人在向别人贩卖你在他那寄存的身份信息,你把这事儿披露出来,自然不会再有人去他那存身份信息。
pmpio
2016-10-09 22:50:49 +08:00
我不知道 Mozilla 的影响力有多大,我只知道几乎所有浏览器的 User Agent 中都有 Mozilla 这个单词。。。。
wdlth
2016-10-09 23:02:21 +08:00
Mozilla 是 CA/Browser Forum 的成员,问题是数字也是 CA/Browser Forum 的成员,估计结果无非是自罚三杯……

有趣的是下面竟然有 WoSign 的 Pingback:https://cabforum.org/members/
Explorare
2016-10-09 23:04:15 +08:00
@wayslog 如果其他组织能快速跟进,这样大概能推动使用 WoSign / StartCom 证书的网站换掉证书吧,虽然说目前的决定是不信任未来一年的证书,对之前签发的证书无影响,但是网站用了一个没法续签的证书也是个麻烦。
Explorare
2016-10-09 23:05:50 +08:00
@wdlth www
zent00
2016-10-09 23:08:36 +08:00
是否信任某个证书确实是个人自由,所以绝大多数浏览器都给了用户选择权,用户可以自行添加并信任这些证书。但是作为一个浏览器厂商,如果随随便便就把那些游走在灰色地带的厂商颁发的证书为默认可信,从职业操守上来说,这是对用户不负责的行为。
Explorare
2016-10-09 23:08:37 +08:00
其实说到底还是自己手贱吊销了 WoSign / StartCom 的根证书,导致访问一些博客和小网站会遇到证书被吊销的问题。每次我都会联系站长建议更换到 Let's Encrypt ,他们都会很客气的回复感谢提醒接受建议。但是如果业界能直接形成拒绝 WoSign 的主流得话不就省事多了么,懒 ( ´_ゝ`)
Explorare
2016-10-09 23:11:50 +08:00
@zent00 从另一个角度看。如果某个站长并不认为 WoSign 的行为会危及网络安全而是用了其签发的证书,我认为这也算是变相的要挟用户信任了这个证书,把自己的选择强加在别人身上。虽然说访问不访问也是用户的自由就是了,但有些时候你是非看不可的,比如校务系统之类的。
zent00
2016-10-09 23:29:04 +08:00
现在虽然只有 Mozilla 和 Apple 表态了,这两家的行动也不一定能影响其它厂商,但同行们至少会思考为什么 Mozilla 和 Apple 会作出这样的决定, WoSign / StartCom 现在也会被重点关照,以后万一再出什么篓子,那就真混不下去了。
billlee
2016-10-10 00:06:31 +08:00
@Explorare 不是停止信任一年吧,是一年内不能重新申请成为 CA; 一年后申请也还要重新做 WebTrust 审计的。
ryd994
2016-10-10 02:48:40 +08:00
如果我没记错的话,很多开源 https 客户端默认或者建议用户使用 Mozilla 的 CA bundle ,比如 curl
nvidiaAMD980X
2016-10-10 03:14:10 +08:00
@zent00 还有 Comodo 已经吊销了之前和 Wosign 签的交叉。

如果 Google 能够跟进的话, Wosign/StartCom 基本已经完蛋了,就如同之前的 CNNIC CA 一样,现在 CNNIC 的官网都不用自己的 CA 了,换成了 Digicert CA 。

@Explorare 另外,很多大学的校务系统都还没有上 HTTPS ,仍然用 HTTP 协议。
Explorare
2016-10-10 08:07:47 +08:00
@billlee 多谢指正。我语文水平有限想的和写的不一样了。这里重写一下,是一年内签发的新证书不受信任(能签,但是不信任),不影响之前签发的证书。这一招还是挺明智的,不影响大多数用户,同时又制裁了 WoSign 。
Explorare
2016-10-10 08:09:17 +08:00
@nvidiaAMD980X 敲碗坐等 Google 和 M$ 跟进,看戏的不嫌事大 ( ゚∀。)
Explorare
2016-10-10 08:10:12 +08:00
@ryd994 多谢情报,这个还真不知道。
xmoiduts
2016-10-10 08:15:57 +08:00
我们其中一个教务系统好像是 rapidssl 的,是少有的经常维护的网站,不过也被报了 sha1 的红锁。
RqPS6rhmP3Nyn3Tm
2016-10-10 08:18:15 +08:00
@Explorare 中心化的信任系统就是这样,如果你必须的网站就是喜欢沃通,那么你就得信任沃通。
虽然我用 LE ,但是依然觉得用什么证书是由网站的管理员需求决定。作为站长我会用 LE ,作为用户我则不会吊销系统或浏览器自带的证书。这些事情巨无霸们都考虑好了,我们就不用操心了。
yidinghe
2016-10-10 09:02:02 +08:00
世上没有绝对的无潜规则地带,但人家好就好在,即使有潜规则存在,也不允许违背明面上的规则,潜规则只能钻空子而不能代替明规则。中国就不一样,明规则都是一纸空文,潜规则主宰一切。
bernardx
2016-10-10 17:10:15 +08:00
同意 @BXIA 其实我还是不太建议手动删除证书,这么多大厂都盯着呢。
我之前也表达过,目前手动删除最多是一个行为艺术。 LE 是免费的,而很多大站用的 WoSign 和 StartSSL 是收费的 EV 和 OV ,你是相信 LE 免费的 DV 还是 StartSSL 的 EV 呢?
Explorare
2016-10-10 17:29:27 +08:00
@bernardx 免费并不代表证书可以随意签发。收费也无法证明证书签发手续和技术是否规范。现在 WoSign 面临的问题就是证书签发手段和技术出了问题,做出了不合法但又被信任的证书。这才是问题。如果他能改正那么我还是可以继续信任的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/311499

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX