这是一个创建于 3006 天前的主题,其中的信息可能已经有所发展或是发生改变。
根据外媒报道
Mozilla 可能采取的行动包括吊销沃通 CA 证书。沃通 CA 是中国最大的 SSL 证书发行商之一,它声称中国市场每 3 张 SSL 证书中就有 1 张由沃通 CA 签发,如果吊销沃通 CA 证书,可能将会影响很多中国网站
…………………………………………………………………………………………………………
各位怎么看??
另外,好像 AddTrust External CA Root 也和沃通 CA 有关联,它是神马背景的,需要加入不信任列表吗?
Mozilla 可能采取的行动包括吊销沃通 CA 证书。沃通 CA 是中国最大的 SSL 证书发行商之一,它声称中国市场每 3 张 SSL 证书中就有 1 张由沃通 CA 签发,如果吊销沃通 CA 证书,可能将会影响很多中国网站
…………………………………………………………………………………………………………
各位怎么看??
另外,好像 AddTrust External CA Root 也和沃通 CA 有关联,它是神马背景的,需要加入不信任列表吗?
 |
1
namebus 2016-08-25 22:21:00 +08:00
感觉他们这是作死的节奏, AddTrust External CA Root 是 Comodo 的 Root ,之前给他们发过交叉,现在 Startcom 和 WoSign 是一家的,都属于 360 旗下控制的两家 CA ,所以性质是完全不一样的。
http://www.cnbeta.com/articles/533005.htm 1 、 2015 年 4 月 23 日左右,沃通 CA 允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定; 2 、 2015 年 6 月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名( Base Domain )的证书,如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.com 、 github.io 和 www.github.io 的证书; 3 、 2016 年 7 月,与沃通 CA 有关联的 StartCom CA 被发现允许证书倒填日期,倒填日期能绕过浏览器对 SHA-1 算法的限制。 |
|
2
namebus 2016-08-25 22:31:20 +08:00  1
刚刚看了, Comodo 给 WoSign 交叉的是 UTN - DATACorp SGC 这个 Root ,但这个 Root 在 Windows 下已经不可信, AddTrust External CA Root 没有给 WoSign 签发过交叉
|
 |
3
Sunyanzi 2016-08-25 22:58:29 +08:00
沃通的 CA 不是一直都不可信 ..? 现在沃通签出来的免费 SSL 是 StartCom 的 CA ...
|
|
4
namebus 2016-08-25 23:24:49 +08:00
@Sunyanzi 在 Windows 和 Firefox 下已经是可信的了,但在 iOS 和 macOS 下都是不可信,所以使用 StartCom Root 做交叉。
|
 |
5
nvidiaAMD980X OP |
|
6
nvidiaAMD980X OP @namebus UTN - DATACorp SGC 不是 US 的 CA 机构颁发的吗?它什么时候给 Wosign 交叉授权的?
|
|
7
nvidiaAMD980X OP @namebus 不对啊,根据这篇文章, AddTrust External CA Root 给 Wosign 交叉授权过。
https://github.com/JayXon/AntiChinaCerts/blob/master/README.md |
|
8
namebus 2016-08-26 23:58:37 +08:00 1
@nvidiaAMD980X 就你发的这个 Github 里的链接可以看出,给 Certification Authority of WoSign 签交叉的是 UTN - DATACorp SGC 签发, WoSign 和 WoTrust 几个中级证书是由 UTN-USERFirst-Hardware 所签发, AddTrust External CA Root 有给 UTN-USERFirst-Hardware 签了交叉,所以 WoSign 和 AddTrust External CA Root 是间接关系,没有直接关系。
而直接给 Certification Authority of WoSign 签交叉的 UTN - DATACorp SGC 因为没能过审核,现在已经作废了,在 Windows 和 Firefox 下已经不可信,但 macOS 下目前还没有移除,应该在下一个版本中会移除这个 Root 。 以下几个 Root 均属于 Comodo 公司 UTN-USERFirst-Hardware UTN - DATACorp SGC (已作废) AddTrust External CA Root |
|
9
nvidiaAMD980X OP @namebus 刚才看了看我的 Nexus6 , UTN - DATACorp SGC 也是默认信任………看来得晚上起床,拉黑 macOS 和 Nexus 平板的相关 CA 了…………
|
|
10
namebus 2016-08-27 15:45:44 +08:00 1
@nvidiaAMD980X 这个 UTN - DATACorp SGC 可以放心的拉黑了:
https://bugzilla.mozilla.org/show_bug.cgi?id=1208461 https://code.google.com/p/chromium/issues/detail?id=538572 |
 |
11
VmuTargh 2016-08-28 16:56:12 +08:00 via Android
不得不说一句 wosign 的广告很恶心
|
|
12
VmuTargh 2016-09-02 21:57:21 +08:00 via Android
哦 现在真出事了 连着 startcom 的一起干掉吧
|
 |
13
sojingle 2016-09-03 00:40:22 +08:00
好吧...干掉 StartCom ...
|
 |
14
redsonic 2016-09-03 09:59:53 +08:00 1
为什么主流的操作系统不提供一个简便的 CA 开关,让用户选择信任哪些 CA ,就像 IOS 越狱后那个插件。现在都是靠一些插件, msc , linux 甚至要重新编译代码才行。而且巨硬会后台更新证书(不是 windows update ),这样 CA 证书的增删改更不透明。
|
|
15
nvidiaAMD980X OP @redsonic Android6.0 做得不错,可以手动拉黑不信任的 CA 证书, macOS 的证书列表也可以手动拉黑自己不信任的 CA 证书,但是 iOS 就缺乏这种手段了, iOS9 的 UCA Root 和 UCA Global Root 就是两大毒瘤,不知道 iOS10 是否已经移除这些 CA ………… Windows 连 CA 列表都不给,还必须自己导入后拉黑……………
|
 |
16
wql 2016-09-03 23:31:53 +08:00 via Android
深挖了一下沃通。
以下信息均基于工商登记信息和已经公开的可信信息。 沃通:王高华,张千夫和三家奇虎三六〇全资子公司(占大头)合资建立。 世达康(深圳):以色列 startcom 全资成立于前海的马甲 startcom:据称已经被王高华控制 真是 |
 |
17
qiezifxj 2016-10-09 13:01:42 +08:00
欢迎使用腾讯云免费证书, 跟 V2EX 一样的 TrustAsia DV SSL CA - G5. link: https://console.qcloud.com/ssl
不过不支持 *.v2ex.com 这种泛域名。 |
Select Language