你们信任 CFCA 证书吗?

2020-03-09 14:48:06 +08:00
 crella

cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了

用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm

图片见

关掉杀毒软件,浏览器自行拦截的提示是:

刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书

这个 CFCA 不知道风评如何?

http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA

7554 次点击
所在节点    程序员
25 条回复
qwerthhusn
2020-03-09 15:31:51 +08:00
https://www.gov.cn/
这个够官方了,人家在用 GlobalSign 的
lshero
2020-03-09 15:53:31 +08:00
这还算是通过了 WebTrust 审计的
感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用
dndx
2020-03-09 16:08:48 +08:00
不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。
derekwei
2020-03-09 17:36:37 +08:00
各种网银加金融基础设施认证都用他家的证书...
yohanechan
2020-03-09 18:01:30 +08:00
当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上
但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便
大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site
eason1874
2020-03-09 20:58:44 +08:00
微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。
mytsing520
2020-03-09 21:38:03 +08:00
Google Chrome、Microsoft 有信任这个
loukky
2020-03-09 23:55:14 +08:00
Android chrome 可以直接打开
lc7029
2020-03-10 00:39:29 +08:00
不信任,用它还不如自签证书
domosekai
2020-03-10 00:51:49 +08:00
中邮海外购用这个
Windelight
2020-03-10 07:51:31 +08:00
中金 CA 可以說還是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。
另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。


此处中国不包括 Hongkong Post 和 Taiwan CA
Explr
2020-03-10 09:45:57 +08:00
我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。
lovedebug
2020-03-10 10:01:06 +08:00
自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。
whileFalse
2020-03-10 10:40:50 +08:00
CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。
baobao1270
2020-03-10 14:15:37 +08:00
我禁用了的,目前并无不便。
julyclyde
2020-03-10 14:21:49 +08:00
@whileFalse cfca 没资格签发 gov.cn 的域名的。这属于专业类的,gov.cn 根本不会问他们做生意
Xusually
2020-03-10 16:18:41 +08:00
不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。
然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。
摊手.jpg
Semidio
2020-03-10 19:33:10 +08:00
@julyclyde 但是上面图里的不是 gov.cn 域名吗?
jwenjian
2020-03-10 20:28:11 +08:00
CFCA 的证书为啥不信任?金融体系离不了...
julyclyde
2020-03-11 11:15:15 +08:00
@Semidio 我错了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/651187

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX