贵 B 快点把 wosign 的证书换了吧

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
事件在 8 月份发生的。b 站的问题是，2016 年 10 月居然还在申请 wosign 的证书。
处理结果是不信任所有 10 月 21 日之后签发的证书，b 站刚好没被波及。

目前的 Chrome 可能已经完全不信任 wosign 的根证书了

@operafans
全部过程在 Mozilla 的论坛进行的。


@fengxing
Chrome 目前正在缓慢的解除对 symantec 的信任

@AsherG #20 你这是主站的。https://api.live.bilibili.com/ 页面是 Wosign 签发的证书。

我打开也没有出现安全警告，还有小绿锁。 更新到 59.0.3071.86 也还是一样。
顺带吐槽一下，59.0.3071.86 的设置页变成跟 Google 系产品 Web 页面一样了。

@operafans 如果你有兴趣可以支持一下我的 https://nohttps.org，可以补充一段关于 HTTPS 给了浏览器和操作系统更多的，去判断一个网站是否「安全」的权力。

@honeycomb #21 并没有完全不信任，只是特定版本的原因

@jybox 你的建议不成立，能窃听就能重放
换个角度再说，你说用 integrity 签名防篡改，那谁来对这些签名的公钥的身份呢？用 CA 的话和 https 不是一样的问题了么？
Linux 发行版会在网上公开公钥，同时提醒你校验 ISO 的 hash，因为他们官网用的 https，所以他可以认为不会被中间人。
最后，如果你只想用 https 的身份验证和数据一致性功能，而不想加密的话，可以使用 null cipher
PKI 不是万能的，但我找不到更好的。gpg 根本不管密钥分发。

我对鼓吹自己吊销密钥表示反对。各大浏览器厂商都有一套审计流程，比用户自己的喜欢 /不喜欢严谨得多。如果 CA 有问题，操作系统和浏览器自然会不信任。

@BXIA 中国互联网与世界互联网是两个不同的世界。
国际公认必须吊销，但到了国内，因某些见不得人政策需要，国产浏览器厂商会被要求保留这些证书。

@xx998 1. 不用国产浏览器，反正跑不出 IE 和 chrome 套壳
2. 老大哥想看你内裤还用得着这么麻烦？

@xx998 作为用户，你有权利选择你认为审计透明的浏览器厂商，比如 Firefox。

不知道贵 B 欠我司的钱什么时候还

@Showfom 哇，欠的是证书的钱？

@Showfom 说出你的故事

已转给同事

版本 59.0.3071.86 （正式版本） （ 64 位）, 没有出现安全警告

为何还不吊销 Symantec 的证书！说白了还是 ideology 在作祟

插个题外话，B 站现在是不是对不是会员的限速了，看个视频缓冲来缓冲去的，好难受。我是 200M 电信宽带……

@mortal 来个 ip 或者 mid 我帮你查问题

@honeycomb 我不是说证书这事，just saying chrome 这么拦截用户访问一个或许没什么问题的页面的手法很霸道

@operafans

我公司内网 Github 用的是 startcom 的证书，上次更新 debian 后 git. 不能提交了，我是不是也要说 git 霸道啊？

@jybox 见上。另外我不对网站的安全配置工作进行任何评价。换句话说 我并不觉得 任何公司或者任何手段 能提供给我足够可信赖的“安全”支持。