CA 私钥泄露,系统的所有流量都能被中间人攻击。国产的一堆 CA ,多数无强制证书透明 CT 日志,泄露了也不知道。
好像鸿蒙系统内置了很多国产 CA ,是不是风险有点大
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
 |
1
HFX3389 3 days ago  1
你可能认为是风险,但是别人不这么认为,唯一能做的就是不用
|
 |
2
mizuki9 OP 我是说国产 CA 太多了,更重要 是无强制证书透明 CT 日志 最严重
|
 |
3
nrtEBH 3 days ago 1
问就是信创自主 国密认证
看你的使用场景 如果是个人用国内 app 都不需要从 CA 上搞你 直接手机+app 后台数据都是透明的 如果纠结隐私 换 google 手机+外卡 esim+不装任何国内软件 你的隐私很多时候你从你个人这边都没法防 上海某部门被整体拖库类似这种事情肯定大把的 |
 |
4
HojiOShi 3 days ago 6
用鸿蒙的人不会在乎这件事
|
 |
5
SURA907 3 days ago 4
参考一下沃通的事情,不到万不得已别碰
|
 |
6
paranoiagu 3 days ago via Android
安全是相对的,没有绝对的。
|
 |
7
shuaishuaide 3 days ago 1
@SURA907 我认为凡是被审计过证明可信的,就没有问题。别总拿沃通说事,沃通怎么了?根证书泄露了?伪造证书搞中间人攻击了?国外被取消信任的证书颁发机构还少吗?最有名的就是赛门铁克。企业的问题,不要上升到国家。赛门铁克是美国的,美国的 CA 是不是也不能用了?
|
 |
8
ajaxfunction 3 days ago via iPhone 5
@shuaishuaide 大哥,沃通伪造 GitHub 证书。你不知道吗?
|
 |
9
cybort 3 days ago via Android
那是必然的,要不你以为人家为什么要自己发证书
|
 |
10
jim9606 3 days ago
如果有人要冒领证书冒充你的网站,你其实没法阻止问题的发生,因为攻击者和恶意 CA 不需要跟你有任何往来,跟你用哪家 CA 无关。CT 的意义是让你知道你是否有被冒用(这通常还是通过第三方供应商提供的 CT 监控服务实现的)。除非客户端受你控制(你可以决定信任锚而不是让 OS 替你选一批),否则你也没办法阻止冒领证书被客户端信任。
选择支持 CT 的 CA 的意义是让你相信这个 CA 收你钱不是乱搞的,谁都能监督 CA 是不是在乱搞,不然凭啥信任这个 CA 呢。商业证书通常是有 SLA 要求的,通过合同利益,约束 CA 合规,别被主流平台处罚,进而影响用户的可用性,引发索赔。 商业 CA 是要赚钱的,只能被少数平台信任的 CA 的证书是卖不出去的。除非这 CA 完全不按商业逻辑运作非要恶心人,不然主流平台的合规要求是不可能无视的。 |
 |
11
ShareDuck 3 days ago
@ajaxfunction 你这个表述会让人理解为沃通故意签发 GitHub 的域名证书,但实际情况不是。实际是沃通对用户申请证书时,验证用户对域名的控制权和签发证书的域名没有严格限制一致。就是你有可能对 aaa.github.com 这个二级域名有控制权,但沃通居然够胆给你签发 github.com 这个上级域名的证书。
这事一个很严重的流程问题,但这个问题跟 Symantec 、DigiNotar 等被吊销的来说,反而是更轻微的。当然,沃通在此事之前就有些不太严重的违规操作,算是“劣质斑斑”了,当年工信部也对沃通开出了罚单。 至于其他还有很多被撤销信任的机构证书,我觉得他们的问题都不如上面几家严重,不值一提。 |
|
12
ajaxfunction 3 days ago via iPhone 2
@ShareDuck 看起来是漏洞,但实际沃通的大股东是 360 ,360 很大盈利来源就是劫持用户购物软件加链接分佣,360 的专业度加上他的利润来源,很难说这是意外
|
 |
13
NewYear 2 days ago
没有国内 ca 在信任列表才是真的风险大
let's encrypt 上一直就有一个争议,到底该不该给大鹅的用户签发证书,如果大家都不给他签发,他们又没有自己的 CA ,怎么办? 说到底别太把自己当回事,人家冒着违规都要劫持你,那你其实反而应该担心其他的,而不是这个。 并不是说在国内就不需要遵守规则。 |
|
14
shuaishuaide 1 day ago
@ajaxfunction 你要不要注意一下时间线?误签发证书是什么时候? 360 入股是什么时候?不要用后来发生的事情作为之前发生的事情的原因。他们难道会穿越?
另外沃通对于证书的验证方式,在我看来并无不妥,现在 let's encrypt 的证书签发验证方式是将二级域名的 TXT 记录解析到特定字符即可完成验证,比如“_acme-challenge.v2ex.com”。如果 github 完全开放注册二级域名,如果有人注册了“_acme-challenge.github.io”,那么就可以签发“github.io”和“*.github.io”的域名证书。是 github 自己不注意进行域名过滤造成的问题,怎么倒怪到沃通头上了?提供二级域名注册的服务厂商多了去了,怎么就 github 被误签发了? |
|
15
shuaishuaide 1 day ago
@ShareDuck 我没经历过那个事件,只是道听途说。事件发生之后我才开始用沃通签发证书,验证方式和现在一样,dns 和 http 。我也在想,这件事的发生,github 就没有责任吗?例如 github 并没有做域名过滤,放任“_acme-challenge.github.io”这类域名随意注册和解析,那么证书误签发这件事确实怪不到沃通头上。
|
|
16
shuaishuaide 1 day ago
@NewYear 还有一点,假设国内会伪造证书进行劫持,国外又怎么会是白莲花?目前 Chrome 浏览器用的是比较多的,如果美国或者五眼联盟想要劫持你,然后让 Google 闭嘴,那不是风险更大?国产证书至少有 Google 、Mozilla 基金会这类国际组织盯着。当 Google 主动/协助作恶时,谁又来监督呢?
|
 |
17
lqxandxy 1 day ago
开源的 ejbca 这种没有风险吧? 听着怪吓人的。 只要私钥不泄露应该没事吧。
|
Select Language