StartSSL 的 PKI 平台已由奇虎 360 托管

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3195 天前的主题，其中的信息可能已经有所发展或是发生改变。

刚从 Hacker News 看到的新闻，链接如下：
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html

32 条回复 • 2016-09-20 12:07:32 +08:00

TakanashiAzusa

2016-02-16 17:54:08 +08:00

删证书保平安

rainy3636

2016-02-16 18:04:30 +08:00 via Android

上次看到用 360 的服务器时就拉黑了根证书

xrui

2016-02-16 18:21:52 +08:00 via Android

完，还是 le 吧…

aivier

2016-02-16 18:23:25 +08:00

360 又不是恶魔，何必这样，各种拉黑又能怎样？值得去窃取根证书监听内容的网站会用 StartSSL ？

VmuTargh

2016-02-16 18:28:58 +08:00 via Android

药丸啊赶紧转 le （虽然我现在用的是 cf 家的 ssl ）

wzxjohn

2016-02-16 18:34:48 +08:00

吃枣药丸。去年出这个公告的时候就不再用了。。。

maskerTUI

2016-02-16 21:20:51 +08:00

@aivier 360 就是互联网的恶魔

blacktulip

2016-02-16 21:23:22 +08:00

@aivier 360 不是惡魔誰是惡魔？

hancc

2016-02-16 21:28:31 +08:00

@aivier 360 就是互联网的恶魔

songjiaxin2008

2016-02-16 21:32:22 +08:00 via iPhone

这么早就说不安全，会不会给人一种钦定、硬点的感觉？各大浏览器厂商都盯着， 360 要是作死 StartSSL 根肯定被拉黑。不要总是想着搞个大新闻。

ooxxcc

2016-02-16 21:32:53 +08:00

卧槽。。。。回头就去换掉

DesignerSkyline

2016-02-16 21:39:57 +08:00

360 是时候加入 Certificate Transparency 了。 2333333333

est

2016-02-16 21:50:52 +08:00

貌似只用了 360 的 cdn 吧。大惊小怪。

chemzqm

2016-02-16 21:53:56 +08:00

系统上竟然有 3 个他们家根证书，已经全部拉黑

@songjiaxin2008 360 做的死还少吗

yylzcom

2016-02-16 21:54:33 +08:00

就是不给流氓半点机会，不把用户当人，我们还把他当人看？
在有能力选择的时候，一定不给流氓半点机会！

songjiaxin2008

2016-02-16 21:56:31 +08:00 via iPhone

@chemzqm 就事论事 360 并没有在证书上搞什么事情吧

redsonic

2016-02-16 22:08:11 +08:00

交给 360 等于交给郭嘉，另外还有 wosign 。

est

2016-02-16 22:16:38 +08:00

@redsonic 正解。 360 和 P.R.C.公安部穿一条裤子的。红衣主教和部委里的关系熟的很。

wql

2016-02-16 22:25:30 +08:00 via Android

只是前端 CDN 开启了 360 而已，他们用证书验证回源就可以保证私钥不泄漏了。
我依然信任 startssl

iF2007

2016-02-16 23:15:14 +08:00

如果 CA 被 360 管理运行的话，那么 360 可以想搞谁就搞谁——因为它是 CA ，可以撤销你的证书，可以换一个证书给你，还可以做更可怕的事情——因为它是 CA

wql

2016-02-16 23:16:36 +08:00 via Android

@iF2007 如果真是这样，真可怕。

lhbc

2016-02-16 23:18:35 +08:00 via Android

据说 360 浏览器即使证书错误也会忽略然后请求页面的？求证。
另外，证书错误会发送已保存的 Cookies 吗？

ryd994

2016-02-17 03:05:57 +08:00

@lhbc 不会发送 cookies
要先 tls 握手成功才有 http 部分

lshero

2016-02-17 03:20:59 +08:00 via iPhone

对数字厂有点太较真了吧？突然想万一某天数字厂想恶心人给 openssl 和 libressl 捐点款，然后接下来该准备怎么弄？

initialdp

2016-02-17 09:22:21 +08:00

@lshero 那说明还有点内疚感。不过这种事会发生么？我个人觉得狗是改不了吃屎的。

DesignerSkyline

2016-02-17 09:54:46 +08:00

360 托管 PKI 平台只会降低安全性（一个小小的 Google 公共库镜像都不采用 HTTPS ，还有浏览器不会提示证书是否有效，足以证明），所以为了证书的安全性，建议不使用 StartSSL 的证书

typcn

2016-02-17 10:07:19 +08:00

@lhbc 是的 360 浏览器会忽略证书错误直接打开网页，带着你的 cookie 等信息

typcn

2016-02-17 10:07:35 +08:00

@lhbc *360 安全浏览器（激素没试过）

hanru

2016-02-17 10:26:02 +08:00 via Android

这是 360 要收购 startcom 的前奏？

lhbc

2016-02-17 11:35:14 +08:00 via Android

@ryd994
@typcn
找公司前端借了个测试虚拟机， 360SE 确实直接打开了证书错误的网站并发送了 Cookies
另外，所有 360 的网站，即使没有采用 HTTPS ，也显示类似 EV 证书网站的绿色地址栏
我只想说，作为一家安全公司，这太不专业了
另外翻到 CAB 论坛里关于 360 浏览器的几十封邮件， 360 的回复太不专业了

wwqgtxx

2016-02-26 00:28:58 +08:00 via Android

@songjiaxin2008

Cu635

2016-09-20 12:07:32 +08:00

@lhbc
不，这很专业：知道绝大多数使用 360 浏览器的用户看见绿色就直接认为是“没问题”，将来真的钓鱼的时候也是绿色就不会有人问了。