奇虎 360 旗下的 StartCom 又签发了假的证书,

2017-06-04 16:21:07 +08:00
 bukip
StartCom 对此回应:他们正在实现 Google 维护的 CT log (证书透明),但由于防火长城而遇到了一些问题。他们提出了一个解决方案 —— 签发了这些假的证书,据说只为了测试。
5359 次点击
所在节点    SSL
18 条回复
ylx
2017-06-04 16:36:50 +08:00
放弃治疗了
rssf
2017-06-04 16:48:23 +08:00
能改的了吃屎就不是狗
shiny
2017-06-04 16:55:10 +08:00
580a388da131
2017-06-04 16:56:52 +08:00
Google 是怎么拦截到这些假证书的?
wwqgtxx
2017-06-04 17:17:34 +08:00
@580a388da131 chrome 浏览器会上传证书
Showfom
2017-06-04 17:20:44 +08:00
test.cn 这个米签发了证书 233

域名: test.cn
ROID: 20030312s10001s00063170-cn
域名状态: clientDeleteProhibited
域名状态: clientUpdateProhibited
域名状态: clientTransferProhibited
注册者 ID: xq317v49978fop
注册者: 北京慧思德科技有限公司
注册者联系人邮件: info@wisdom.com.cn
所属注册服务机构: 北京新网数码信息技术有限公司
域名服务器: ns15.xincache.com
域名服务器: ns16.xincache.com
注册时间: 2003-03-17 12:20:05
到期时间: 2020-03-17 12:48:36
DNSSEC: unsigned
580a388da131
2017-06-04 17:26:51 +08:00
@shiny Solidot 到底又啥背景。。。
taineric
2017-06-04 17:39:54 +08:00
我觉得根本问题是这家公司的中国团队完全没有任何安全意识
honeycomb
2017-06-04 17:55:21 +08:00
coderfox
2017-06-04 18:09:02 +08:00
@580a388da131 Chrome 有选项,可以自动上报可能的安全事件。
rssf
2017-06-04 18:25:52 +08:00
先故意偶发错误,测试对方反应及应对手段,逐步升级,直到关键时刻直接致命一击
redsonic
2017-06-04 18:41:25 +08:00
谁能贴一下这个证书 ,想去 crt.sh 去查一下
@Showfom
jasontse
2017-06-04 18:48:57 +08:00
不管是出于什么动机,自己招黑也好,对华歧视也罢,这个时候干这种事并不明智,本身你就是已经在观察期还不知道小心点。
yexm0
2017-06-04 18:50:32 +08:00
LanFomalhaut
2017-06-04 18:52:27 +08:00
神特么 test.cn 一天到晚想着搞大事情
redsonic
2017-06-04 20:01:04 +08:00
@yexm0 也就是说他们为了测试 ct log,为 test.cn 签发了一个审核程度还不如 DV 的 EV 证书, 而且 test.cn 和 startcom 没有任何关系,test.cn 躺枪?


chrome 会上传证书 有文章详细介绍吗? chromium 代码扒了一下没看到。 我觉得只是因为这个 fake 证书去 google 的 CT 查了 引起了注意吧。
@wwqgtxx
@coderfox
yuedingwangji
2017-06-05 12:42:35 +08:00
请问一下什么叫假证书
Cu635
2017-06-05 13:44:22 +08:00
@redsonic
chromium 和 chrome 还是不太一样的,chrome 也许加上了这方面的代码。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/365861

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX