V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
geekzu
V2EX  ›  SSL

调查下,你们把 Wosign 根证书放到不信任列表了吗

  •  
  •   geekzu · 2015-03-12 22:31:23 +08:00 · 4242 次点击
    这是一个创建于 3530 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,统计下
    22 条回复    2015-03-24 22:57:24 +08:00
    squid157
        1
    squid157  
       2015-03-12 22:39:33 +08:00   ❤️ 3
    没有。而且CNNIC我也没动。

    我相信有伪造证书的话HTTPSEverywhere会提示的。我觉得CA参与SSL中间人攻击只会让它很快被发现然后被所有厂商放在不信任列表中,没有人那么蠢自断财路。
    NewYear
        2
    NewYear  
       2015-03-13 00:15:38 +08:00   ❤️ 1
    @squid157 赞同,不多说鸟,怕被B,哈哈哈
    chromee
        3
    chromee  
       2015-03-13 00:26:53 +08:00 via Android
    同楼上 没有
    因为这能一直赚钱 不信哪个CA敢作大死
    9hills
        4
    9hills  
       2015-03-13 00:46:31 +08:00 via iPad
    CA这种东西,一旦作恶,赖都赖不掉。签名在那里呢。

    所以没人会冒着被浏览器吊销的风险搞事。。
    wwqgtxx
        5
    wwqgtxx  
       2015-03-13 07:16:43 +08:00 via Android
    怎么可能,好多网站都是这个证书
    800126
        6
    800126  
       2015-03-13 08:00:01 +08:00 via Smartisan T1
    楼主想表现一下逼格,你们也不配合下。
    geekzu
        7
    geekzu  
    OP
       2015-03-13 23:46:24 +08:00
    @NewYear
    @wwwww818
    @9hills
    @wwqgtxx
    @800126
    我自己也没有放到不信任列表,纯粹的统计而已,不带有主观意味。。。
    msg7086
        8
    msg7086  
       2015-03-17 13:54:48 +08:00
    我是设置成访问时弹出提醒,这样既不会影响现有的网站,也能在将来MITM的时候起到防御效果。

    CA出问题并不一定是WoSign出问题,而是有可能WoSign签发的CA证书再去签发有问题的证书。

    @squid157
    @wwwww818
    @9hills
    squid157
        9
    squid157  
       2015-03-17 14:12:52 +08:00 via iPhone
    @msg7086 wosign的pathlen不是0?WoSign不是根证书颁发机构吧。

    另:怎么每次弹出?
    msg7086
        10
    msg7086  
       2015-03-17 15:32:12 +08:00   ❤️ 1
    @squid157 之前不是有个360CA就是WoSign签发的么。
    弹出提醒是Opera的功能。IE和Chrome应该是没有的。
    geekzu
        11
    geekzu  
    OP
       2015-03-19 17:47:26 +08:00 via Android
    @squid157 wosign有两个预埋根证书,一个是收购的,一个是自己的
    另外wosign还买了几个交叉根
    squid157
        12
    squid157  
       2015-03-19 21:17:56 +08:00 via iPhone
    @geekzu 各系统和浏览器居然那么信任WoSign....
    geekzu
        13
    geekzu  
    OP
       2015-03-19 21:58:54 +08:00 via Android
    @squid157 通过审计了,为什么不信任?只是因为是来自中国的?
    squid157
        14
    squid157  
       2015-03-19 22:09:16 +08:00 via iPhone
    @geekzu 想当年Firefox内置CNNIC,吵了很久。我当然是没有说不信任,只是随便感慨一下。
    mackyzhan
        15
    mackyzhan  
       2015-03-22 08:24:33 +08:00 via Android   ❤️ 1
    从不信任大陆签发的证书,到处劫持干扰欺骗封锁的中国相关部门,有什么资格签发证书?!
    geekzu
        16
    geekzu  
    OP
       2015-03-22 22:39:39 +08:00 via Android
    @mackyzhan 唔,这个并不是gov控制的
    msg7086
        17
    msg7086  
       2015-03-23 16:16:11 +08:00   ❤️ 2
    #13 @geekzu 我相信 /t/169672 这个帖子你是读过的,那么你应该知道 WoSign 曾经给 360 签发过中间 CA 证书。
    请问谁来审计 360 CA?
    或许你愿意相信这个流氓公司,或许普通民众愿意相信这个流氓公司,可惜我不愿意。
    既然 WoSign 滥签发,那为了防止信任链下的任一机构作恶,直接 ban 掉整个信任树是最快的了。
    cnbeining
        18
    cnbeining  
       2015-03-24 09:06:00 +08:00
    @msg7086 +1.

    之前是将信将疑。

    直到看见这个360的证书,啥也不说了,友尽。

    连同中间证书全部拉黑。
    mafuyu
        19
    mafuyu  
       2015-03-24 14:09:32 +08:00
    @msg7086 总觉得你的吐槽点不太对啊,一个商人为了做生意卖给某流氓公司PKI然后就这样躺枪了...。按照这样说的话别家买了PKI的也能做坏事了?伪造证书这点应该是完全不用担心的吧,毕竟被发现了就是整个被删。

    当然我比较想吐槽的是某CA的广告行为...简直是上个世纪的方法...
    msg7086
        20
    msg7086  
       2015-03-24 14:20:51 +08:00
    @mafuyu 因为信任链的一环出问题而ban掉整个信任链并不是很过分的事情。
    在欧美至少有法律保护,出了问题可以打官司让你赔个痛快,也有保险公司撑着,造成的损失都有人赔。
    在一个非法制国家里,谁来保护你的权益?
    说个难听点的,阿富汗/伊朗/巴*斯坦某科技公司推出了新的根CA,换你你愿意信任吗?

    PS: 这次的xoxo事件又让中国在SSL圈子里的地位下降了 ;)
    geekzu
        21
    geekzu  
    OP
       2015-03-24 22:55:54 +08:00 via Android
    @msg7086 https://www.v2ex.com/t/178982
    果然应了你说的。。
    geekzu
        22
    geekzu  
    OP
       2015-03-24 22:57:24 +08:00 via Android
    @msg7086 另外360的中间证书好像很久前wosign那边已经在停止签发列表里加上了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1143 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:48 · PVG 07:48 · LAX 15:48 · JFK 18:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.