苹果到现在也没把 CNNIC 证书去掉吗?

2017-02-28 21:20:19 +08:00
 Vizogood

https://ooo.0o0.ooo/2017/02/28/58b57855ece08.png

2245 次点击
所在节点    问与答
14 条回复
J0022ZjV7055oN64
2017-02-28 21:37:33 +08:00
echo1937
2017-02-28 21:53:51 +08:00
已经手动禁止,印象里黄易有几个站点用了这家的证书
580a388da131
2017-02-28 21:57:37 +08:00
证书颁发机构 CNNIC 错误签发了一个中间证书。

这是为数不多强调这一点的,赞一个
大量私人博客几乎不见这条

所以,到现在我还没拉黑,让操作系统自己弄去吧
Vizogood
2017-02-28 23:16:11 +08:00
@580a388da131 酱紫,苹果真是给足了面子.
私人博客不提错误二字是因为 CNNIC 之前也出现过类似的事件( Github MITM Gamil MITM outlookMITM ),而且如果站在一个技术角度来看,这种攻击原因是很明显能分析到的也是所有安全公司公认的
错误签发这次确实是拿到了数字签名本体所以才出来承认错误……你选择不拉黑,各有各的选择吧
squid157
2017-02-28 23:47:08 +08:00
@Vizogood 这些 MITM 是用 CNNIC 的证书签的么?我感觉不太可能。
RqPS6rhmP3Nyn3Tm
2017-03-01 05:00:36 +08:00
@Vizogood outlook 那次事件我经历过,证书报错。如果是 cnnic 签发的应该不会报错(那时候还在信任列表里
Vizogood
2017-03-01 07:19:30 +08:00
@squid157 骨干网上 MITM 的能力只有某人能做到......细节不能讨论太多,你可以看看相关技术资料...
Vizogood
2017-03-01 07:20:15 +08:00
@BXIA 你经历的不是那个.....
RqPS6rhmP3Nyn3Tm
2017-03-01 07:56:58 +08:00
@Vizogood 你说的是哪次?
peinhu
2017-03-01 09:31:25 +08:00
禁用 CNNIC 、 WoSign 、 StartCom 这三个的证书是不是就安全了?
Vizogood
2017-03-01 10:53:20 +08:00
不知道你经历的是第一次还是第二次?
squid157
2017-03-01 13:07:36 +08:00
@Vizogood MITM 用的自签名证书。 CNNIC 不可能蠢到用自己的证书签。你对 PKI 体系不理解,那种规模的 MITM 是需要在出口操作,但用的证书并非由 CNNIC 签发。
Vizogood
2017-03-01 14:33:35 +08:00
@squid157 https://ooo.0o0.ooo/2017/03/01/58b66afbb322a.png 有些事情咱们互相看看资料好吧? 在这里讨论太多并不合适.
squid157
2017-03-01 15:03:25 +08:00
@Vizogood 那实际上咱们看到的事实是一样的,只是做出的判断不一样。你怀疑 CNNIC 也是有理有据的,毕竟中国另外一家证书机构( WoSign )做了非常严重的违规操作而被剔除了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343892

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX