轮到劫持 github.com 了

已经恢复了

墙外那几个要访问的网站我都是 host 的，所以一点影响都没有

@xuanbg 这次跟 DNS 没关系吧

@Reficul #86 私钥是没放出来，但是也不排除可能有谁持有这个私钥。作为非权威机构，不能保证他们能够很安全地保存证书私钥。所以，在证书到期之前都算是一个定时炸弹……

@lintj #115 并没有劫持，只是之前 12306 匪夷所思的没有使用权威机构的数字证书，而是将首页设置为未加密的 HTTP 连接，然后在首页提供一个自签名的证书。如果不安装这个证书的话，在进入买票的页面的时候就会提示证书不受信任了。官方诱导用户去以 HTTP 协议下载根证书并安装为可信颁发机构。
如果不存在中间人的话，那装不装证书都 OK ；而如果存在中间人攻击，因为首页是 HTTP，所以首页的证书是很容易被替换的，也就是即便装了证书也不能保证安全，甚至后果更严重（安装了中间人的证书）。

确实至今 12306 的那个根证书没有发现被利用来做什么坏事（是没有发现，不敢 100% 说没有，不要产生恐惧，也不要放松警惕），这是好事，但是没人知道那个根证书弃用之后是怎么处理的，是否还有人持有证书和私钥文件？这不得而知，所以，至少在那个根证书过期之前，可能都是一个定时炸弹。

围观 ing
有一个小小的问题，权威机构的数字证书如何保证不做坏事？

在大胆猜测一下：
V2+TLS+WS/H2 的方式越来越多，q1ang 也有 KPI，总点搞点什么吧，直接把你的 tls 劫持了应该算是个办法。
这次就当测试一哈，以后没 BA 的域名，ip 在国外的，等待着 github 一样的命运吧
尔等颤抖吧

@hutng 这种层面的中间人攻击，正常网站和 v2 +tsl 都无法建立正常 tsl 联接，客户端强制证书验证的话，攻击也就没什么用了。怕的是 gwf 拿到一个根证书的私钥，随便给你签发证书，发动中间人攻击，这就牛逼了。这样下来，那可不单单是翻墙被抓，而是各种情报，账号密码泄露的问题了。

@hutng gwf 要真这么搞，那国内没人敢在互联网输入任何密码。

@1oNflow #114 哈哈哈哈

@jinliming2 空间注销了🐶

以后说不定就是 ip+域名访问全面白名单化。白名单之内通过 mitm 保证内容可被分析，白名单之外直接掐断😃

都散了吧， 国家队。