无意间发现 CNNIC 也出了开源镜像站

@linbiaye 笑死我了， CNNIC 签发 GitHub 证书的上层签名链你看看是什么，然后摸摸你脸疼不疼

@skylancer 烦不烦啊你， 追着回复，说了你信你爱信的。

@linbiaye 我也不是回复你啊，是打算给后面来的人看的，你自己要回复。顺带说一句要按回复才能跳转到你那层，我建议互相 b 了，更省事

@skylancer 你爱 b 不 b ，用不着你建议我。

然而你们觉得上面站在高地的那几位到底会有几个去用的= =

魔高一丈， 我不想在多年以后才知道 我艹，它门还有这个技能啊， 图样。

@flyingghost 是的，造假总是可能的。

就算你不用 CNNIC ，如果直接在 ISP 上部署用于造假的劫持，那么你用任何非局域网镜像也都同样危险。

我们可以不信赖任何技术。那我们将没有什么可以信赖的了。在现代社会没有人能够独立完成所有工作，不依赖外界。如果我们不选择一种机制去信赖，我们将寸步难行。

是的 HTTPS 一样可以劫持，证书也可以伪造， checksum 也可以失效。但是正是这样的技术存在，选择相信这些技术本身，才可以在不可信的渠道下建立可信的通信。

和卖假药不同——个人没有条件去从分子级别上校验药物的成分，只能选择从可信渠道获取。

但在互联网上，任何人都可以通过密码学手段实现信息传输的安全性、保密性以及防篡改性，从而在不可信的渠道下依旧信任传输的内容。也只有这样，互联网才成为可能。

我们生活在一个危机四伏的环境中，不止 CNNIC ， ISP ，骨干路由器等等一系列中枢都不可信任。

如果你选择不信任数字签名和 checksum ，不敢用 CNNIC 镜像

那你又为何敢让 ISP 为你提供互联网接入服务呢？

@bumz 确实，我不得不信赖技术，但我的技术也有限，技术本身也有其自身的局限性。在这种情况下，倾向于信任一个值得信任的伙伴，一个没有任何黑历史的伙伴，成本和风险是不是更低一些？

具体的说， USTC 或者其他我没有听说过劣迹的服务商是可信的（我这人比较容易相信别人，大牌无劣迹默认白名单，除非听说过有什么黑历史劣迹才会拉黑名单）。数字厂这种正在劣迹的服务商是不可信的。 CNNIC 这种曾有劣迹但改正的服务商是待考察的（虽然从它的基因来说我依然不放心）。

就算对技术的信任，也无法绝对化。本来我信任 MD5 和 SHA1 ，但因为安全技术的进步，计算能力的提高，这些我曾经信任的技术，纷纷落入不被推荐不被支持的范围。那么，谁能保证数字签名和 checksum 之类的技术明天会如何？

至于 ISP ，真的是在抬杠了。我倒是想选 google ，没的选啊！

综上，信任已知技术，但不完全技术至上。信任大厂名厂，对曾经有过劣迹的厂子持警惕态度，有选择的情况下尽量绕道，尽量选择风险成本低的，同时尽量降低选择成本。不管是镜像还是买车还是买食品，我们不正是这样一路战战兢兢过来的吗？

还有个问题是： 为什么 http://mirrors.cnnic.cn/下面偏偏只有一个 apache 系列的镜像？ 难道是因为这个方便加料？ 建议比较闲而且无聊的人用脚本监控一下上面文件的变化，并对比一下官网的校验值

虽然不用，不过多一个开源镜像站总归是好的，单就开设开源镜像站这件事应该是值得鼓励的，而至于其他作恶依然是恶，两者不冲突。

很多时候很多事物是没办法看做一个总体的， Google 也做过恶，百度也为过善。有时候善与恶很可能只是其中的一个个体所为，比如央视，纪录片频道部门的优秀纪录片会让人不禁赞誉国内只有央视能拍出这么好的纪录片，而 315 晚会之类的丑恶行径又让人为之厌恶，这又是另一个部门的锅。

@ragnaroks 我原先有帐号 然后手机贪方便直接用谷歌帐号登录就这样了

其实在有其他资源的情况下，没必要纠结这些。
就像出去旅游，在有卖矿泉水的地方你是买矿泉水，还是喝（漂白过的）自来水呢？

那赃物能不能买？跟正品一毛一样。

精神洁癖啊

@flyingghost 恩，基本同意你的观点，对于我们不了解或者没办法彻底了解的东西，只能看「牌子」了。一个组织一旦有过劣迹，它的牌子就不再受到信任，这也是社会信任机制的基本运行方式。

举 ISP 的例子只是想说，不用 CNNIC 但继续使用不可信任的 ISP ，真的不能提升什么安全性，如果你不信任 checksum 和签名这类技术的话。

每个文件都有数字签名，没啥不敢用的。镜像就是哪个快用哪个就好

我递归 DNS 还在用 CNNIC 的呢，速度大概是国内最快的了吧，至少感觉比运营商的好

怎么说呢，某些人看到中国就无脑就黑的姿势真的很难看。
太平洋没加盖，向往不作恶的西方世界那就游过去啊，现在这边吃饭边无脑骂娘算什么本事。
然而其中挺多人没那个本事游过去，只能望着对面继续骂娘以期出淤泥而不染，哈哈笑死人了。

@linbiaye 但 CNNIC 没法签让人信任的 GPG

@flyingghost TLS 证书没有作假的可能，这可以被数学严格地证明。 CNNIC 可以在 HTTPS 上做文章，那是因为 CNNIC 是被信任的 CA ，并不等于 TLS 被破解。
而软件源的 GPG 验证则不像 TLS 那样，把信任源交给镜像来控制。如果你非要说 CNNIC 的镜像不可用，请你给出 CNNIC 可以破坏 /伪造 GPG 的信任链的数学证明。

有关 CNNIC 签发假证书用于中间人攻击的证据：
https://security.googleblog.com/2015/03/maintaining-digital-certificate-security.html
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/
不爱看的话还有中文： http://www.williamlong.info/archives/4183.html
不爱看的话直接上图：

补充 #58 ，添加条件：在可接受的时间内