首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
efi
V2EX  ›  SSL

Google 撤销所有产品对 CNNIC 的证书信任

  •  4      
  •   efi · 2015-04-02 09:19:27 +08:00 · 14090 次点击
    这是一个创建于 3506 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html

  • CNNIC
  • 撤销
  • 证书
    97 条回复    2015-04-04 23:11:27 +08:00
    v0
        1
    v0  
       2015-04-02 09:21:46 +08:00 via iPhone   ❤️ 12
    Should have done years ago
    liuhaotian
        2
    liuhaotian  
       2015-04-02 09:25:11 +08:00   ❤️ 1
    那以后还能在百度下载到 chrome 吗?呵呵
    Gandum
        3
    Gandum  
       2015-04-02 09:25:25 +08:00 via iPhone   ❤️ 12
    哎,给mozilla提了这么多年意见,最后居然还是Google来领头
    swordfeng
        4
    swordfeng  
       2015-04-02 09:28:26 +08:00 via Android
    恭喜→_→
    jun4rui
        5
    jun4rui  
       2015-04-02 09:31:48 +08:00   ❤️ 1
    又作恶了,太好了
    Ansen
        6
    Ansen  
       2015-04-02 09:35:37 +08:00
    干得漂亮!
    est
        7
    est  
       2015-04-02 09:36:17 +08:00 via Android   ❤️ 1
    wosign什么时候禁?
    virusdefender
        8
    virusdefender  
       2015-04-02 09:37:05 +08:00 via Android
    赞!
    mcfog
        9
    mcfog  
       2015-04-02 09:39:14 +08:00
    congrats
    leassy
        10
    leassy  
       2015-04-02 09:42:34 +08:00
    干得漂亮,好想看看有关部门的怂样啊
    icedx
        11
    icedx  
       2015-04-02 09:44:31 +08:00 via Android
    no zuo no die
    mcone
        12
    mcone  
       2015-04-02 09:46:58 +08:00
    @liuhaotian 你为啥非得在百度下载捆绑了xx杀毒的chrome?直接去官网不好么
    sortbylist
        13
    sortbylist  
       2015-04-02 09:47:36 +08:00
    @mcone 官网下不动啊。
    kn007
        14
    kn007  
       2015-04-02 09:48:51 +08:00
    干得漂亮!
    zhy
        15
    zhy  
       2015-04-02 09:48:56 +08:00
    话说有多少大网站用的是cnnic的证书?
    walkingway
        16
    walkingway  
       2015-04-02 09:49:41 +08:00
    @zhy 12306...
    wy315700
        17
    wy315700  
       2015-04-02 09:51:06 +08:00
    @walkingway 12306自签名的,,
    Gandum
        18
    Gandum  
       2015-04-02 09:53:11 +08:00 via iPhone
    @zhy
    @walkingway
    貌似大站只有两个,国服战网,国服Azure,11306是自签名证书
    kn007
        19
    kn007  
       2015-04-02 09:53:52 +08:00
    回复貌似被折叠了。。。再发一次:干得漂亮!
    kiritoalex
        20
    kiritoalex  
       2015-04-02 09:54:04 +08:00 via iPhone
    干得漂亮
    wy315700
        21
    wy315700  
       2015-04-02 09:54:20 +08:00
    Update - April 1:

    过几天看看是不是愚人节玩笑
    mcone
        22
    mcone  
       2015-04-02 09:55:33 +08:00
    @sortbylist 如果不能科学下载chrome的话,想必扩展更下载不动了(估计都打不开商店吧),没有扩展的 chrome还不如用国产的壳子浏览器

    @zhy @Gandum 我没记错的话,网易邮箱曾经也是(现在不知道好久没用了)……
    Kirscheis
        23
    Kirscheis  
       2015-04-02 09:56:02 +08:00 via iPhone
    算是个好事吧。让某些人知道证书是以信任为基础的。本来就不应该让这种不受监督的机构做CA
    shyangs
        24
    shyangs  
       2015-04-02 09:57:18 +08:00
    Update - April 1 这更新日期-_-!!!
    dangge
        25
    dangge  
       2015-04-02 09:57:54 +08:00 via Android
    如果不是April 1发布的话多好……
    不过这种严肃的事情应该不会开玩笑的吧
    yangff
        26
    yangff  
       2015-04-02 09:58:47 +08:00 via Android
    好评如潮。
    leloext
        27
    leloext  
       2015-04-02 10:00:53 +08:00
    干得漂亮
    gtalk
        28
    gtalk  
       2015-04-02 10:01:53 +08:00
    喜闻乐见~
    SuujonH
        29
    SuujonH  
       2015-04-02 10:02:09 +08:00
    @mcfog 在线下载似乎什么代理都不走,商店走代理..
    @sortbylist 有离线下载包
    sortbylist
        30
    sortbylist  
       2015-04-02 10:05:18 +08:00
    @SuujonH 在线下载不走代理下个几M就不动了。离线下载包。。。居然不好使。。。下过好几个。打开看关于chrome,版本居然没变。。。。。最后还是下的百度那个搞定。去掉那个安装百度什么的勾,就是原版的。貌似。至少名字是这样,没看MD5。
    liuhaotian
        31
    liuhaotian  
       2015-04-02 10:06:52 +08:00
    @mcone 这是在吐槽0 0
    bugmenott
        32
    bugmenott  
       2015-04-02 10:07:21 +08:00
    good job
    leloext
        33
    leloext  
       2015-04-02 10:15:17 +08:00
    好评,干得漂亮。
    halczy
        34
    halczy  
       2015-04-02 10:15:42 +08:00 via iPhone
    @zhy 已有CNNIC的网站会实行临时白名单。所以短期没影响。
    Havee
        35
    Havee  
       2015-04-02 10:21:21 +08:00
    大家都是英文盲么....链接点进去看一下就可以了啊
    jokester
        36
    jokester  
       2015-04-02 10:22:23 +08:00
    never trust {,pretend-to-be-}communists
    JonyOang
        37
    JonyOang  
       2015-04-02 10:23:31 +08:00
    使用github工具吊销了证书,结果qq安装包都不能运行了,咋整?
    mcone
        38
    mcone  
       2015-04-02 10:24:45 +08:00
    @liuhaotian 哈哈 俺错啦 我被网易企业邮的sb客服折腾了一晚上,郁闷坏了,脑袋都不清楚了,从此网易一生黑

    @zhy @Gandum 另外纠正一下,刚刚看了下,网易yeah.net的证书居然是来自kyfw.12306.cn,闪瞎我的狗眼
    comanboy
        39
    comanboy  
       2015-04-02 10:27:44 +08:00
    really ? yes. ok ,give me five.
    bugmenott
        40
    bugmenott  
       2015-04-02 10:27:56 +08:00
    @JonyOang CodeSigning、Online、Organization三种,你吊销多了
    binux
        41
    binux  
       2015-04-02 10:34:14 +08:00
    一定是他们玩劫持 DDOS,下次就 HTTPS 劫持了,让 google 终于下定决心。
    honeycomb
        42
    honeycomb  
       2015-04-02 10:34:33 +08:00
    @sortbylist
    怎么能不会爬梯子呢
    chenshaoju
        43
    chenshaoju  
       2015-04-02 10:36:07 +08:00
    @binux 准确的说,HTTPS劫持发生过:
    http://www.solidot.org/story?sid=33284
    binux
        44
    binux  
       2015-04-02 10:36:40 +08:00   ❤️ 1
    @mcone http://www.v2ex.com/t/74288 again
    mcone
        45
    mcone  
       2015-04-02 10:42:19 +08:00
    @binux thx 长见识了……话说现在网易的https真是摆设……一定要把我的域名邮箱迁到别的地方……
    ehs2013
        46
    ehs2013  
       2015-04-02 10:43:38 +08:00
    已换 Safari
    azuis
        47
    azuis  
       2015-04-02 10:52:39 +08:00   ❤️ 5
    这个标题有点歧义...事实上只是Google 通过 public-key pinning 功能把 CNNIC 给Google域名发的证书全部不信任了而已。而不是从Chrome中把 CNNIC root 去掉
    ...待遇还没有之前法国的高...(ANSSI 都被限制证书只在指定域名有效了。
    P.S. 大多数人都不看原文啊
    shiny
        48
    shiny  
       2015-04-02 10:55:27 +08:00
    我就说怎么态度突然变了,之前的语气也没那么严重。
    xfspace
        49
    xfspace  
       2015-04-02 10:55:30 +08:00 via Android
    在交换机劫持CNNIC CA都自己的…
    love
        50
    love  
       2015-04-02 11:00:35 +08:00
    以前还在用windows的时候我记得从chrome官网下载的只是个安装器,然后这个安装器我就不知道怎么让它用socks代理了,有谁知道怎么从官网直接下载完整版?
    xdeng
        51
    xdeng  
       2015-04-02 11:02:43 +08:00
    绝对支持 另 请问那里设置临时白名单?有时要用。。。
    bilok
        52
    bilok  
       2015-04-02 11:08:48 +08:00 via iPhone
    @azuis 原文的 Update 确实是在 Google 产品中不再信任 CNNIC ROOT
    alex321
        53
    alex321  
       2015-04-02 11:12:46 +08:00
    @JonyOang 在非信任证书里面移除深圳腾讯的证书,似乎是 versign class3 的,不太记得了。
    同样的还有国内金山的、迅雷的、网易的等等。
    NewYear
        54
    NewYear  
       2015-04-02 11:22:12 +08:00   ❤️ 2
    @love

    https://support.google.com/installer/answer/126299?hl=zh-Hans Chrome

    在这里看
    gtx990
        55
    gtx990  
       2015-04-02 11:23:28 +08:00 via Android
    @mcone
    ym.163.com
    anti9take
        56
    anti9take  
       2015-04-02 11:24:38 +08:00 via Android   ❤️ 2
    @azuis Google 不再信任CNNIC新签发的所有证书,究竟是谁没看原文?
    JonyOang
        57
    JonyOang  
       2015-04-02 11:31:05 +08:00
    @bugmenott 没多啊 按照说明正常进行的
    @alex321 临时回复安装了,安装后又吊销了,哈
    sheephe
        58
    sheephe  
       2015-04-02 11:31:25 +08:00
    漂亮咯~
    mcone
        59
    mcone  
       2015-04-02 11:44:32 +08:00
    @gtx990 多谢提醒,之前就是放在这里,昨天闹得很不愉快,已经迁出了~
    网易迟早会败在这种脑残客服手里
    Kirscheis
        60
    Kirscheis  
       2015-04-02 11:48:03 +08:00 via iPhone
    @azuis 引自原文
    As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products. This will take effect in a future Chrome update.
    efi
        61
    efi  
    OP
       2015-04-02 11:53:38 +08:00
    @est 工信部新出规定,依据商用密码管理条例所有国内ICP注册的网站或者.cn域名上提供的https服务必须使用CNNIC证书。
    Rico
        62
    Rico  
       2015-04-02 11:56:17 +08:00
    不做死不会死啊
    stdying
        63
    stdying  
       2015-04-02 11:57:51 +08:00
    ”国家利益“主导一切
    geekzu
        64
    geekzu  
       2015-04-02 11:58:54 +08:00 via Android
    @efi 这么坑?
    est
        65
    est  
       2015-04-02 12:00:33 +08:00
    @efi 哈哈,对策都被你想出来了。
    lxrabbit
        66
    lxrabbit  
       2015-04-02 12:03:30 +08:00
    反正信任与不信任对谷歌来说没区别
    learnshare
        67
    learnshare  
       2015-04-02 12:10:13 +08:00
    Chrome for Win 离线下载地址 http://www.cnbeta.com/articles/382293.htm
    可以先卸载已有的版本再安装。
    phoeagon
        68
    phoeagon  
       2015-04-02 12:19:33 +08:00 via Android
    喜大普奔LOL
    datou
        69
    datou  
       2015-04-02 12:29:07 +08:00
    @efi 12306.cn表示cnnic算个球。。。
    chromee
        70
    chromee  
       2015-04-02 12:42:36 +08:00 via Android   ❤️ 2
    @mcone 其原因是网宿cdn上部署的是12306的证书 你可以选择任意使用网宿cdn的网站进行测试
    例如https://www.mi.com
    est
        71
    est  
       2015-04-02 12:52:47 +08:00
    @efi
    声明出来了

    http://www1.cnnic.cn/AU/MediaC/Announcement/201504/t20150402_52049.htm

    HN上说得好。只狡辩,不实施Certificate Transparency,和我15年前认识的流氓3721一模一样。
    jacy
        72
    jacy  
       2015-04-02 12:54:22 +08:00
    声明
    2015年04月02日 08:32来源: 作者:

    一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
    二、CNNIC将切实保障已有用户的使用不受影响。

    中国互联网络信息中心(CNNIC)
    2015年4月2日
    JQ
        73
    JQ  
       2015-04-02 13:07:41 +08:00
    回归无望了
    sol33
        74
    sol33  
       2015-04-02 13:26:34 +08:00
    @love
    添加?standalone=1
    https://www.google.com/chrome/browser/desktop/index.html?standalone=1
    efi
        75
    efi  
    OP
       2015-04-02 13:28:12 +08:00
    @est 莫激动。流氓不流氓只是经济问题。CA体系本来就是政府玩物,如果互不信任,就只有继续对抗,互联网分裂成局域网。大势如此,不出其外。
    XadillaX
        76
    XadillaX  
       2015-04-02 13:40:39 +08:00
    要撕逼了吗?
    mrjoel
        77
    mrjoel  
       2015-04-02 13:57:51 +08:00
    zou and die
    azuis
        78
    azuis  
       2015-04-02 13:58:46 +08:00
    @Kirscheis 好像现在是加入白名单了,还没revoke 。 嗯,Good job 。 坐等mozilla 和 microsoft 的进一步行动。
    iwege
        79
    iwege  
       2015-04-02 14:06:21 +08:00
    @azuis M$ 不是和腾讯还有360合作了么?我觉得后两家会保证用户的使用流畅度的。
    Tlvncks
        80
    Tlvncks  
       2015-04-02 14:07:46 +08:00
    @sol33
    添加?standalone=1
    后面的小"1"有什么特殊意义吗?
    taiyuan
        81
    taiyuan  
       2015-04-02 14:17:20 +08:00
    干的漂亮
    sumhat
        82
    sumhat  
       2015-04-02 14:28:38 +08:00
    其实这样做只会使 Google 和天朝的关系搞得更僵,更不利于重返中国市场。
    luikore
        83
    luikore  
       2015-04-02 14:59:33 +08:00
    iOS 没法撤销
    seki
        84
    seki  
       2015-04-02 15:05:39 +08:00
    @Tlvncks 1 就是 ture 的意思,加了这个之后下载到的就是理线安装版
    mrjoel
        85
    mrjoel  
       2015-04-02 15:32:07 +08:00
    @Tlvncks 百度了下 1 通常代表yes 0代表no
    VYSE
        86
    VYSE  
       2015-04-02 16:29:01 +08:00
    CNNIC声明采用了GITHUB DDOS事件转移责任到@Greatfire 的宣传手段。
    “看吧你个GOOGLE丝毫不尊重用户权益,搞的现在全中国用户都用不了GOOGLE的服务和产品了”
    hyuwang
        87
    hyuwang  
       2015-04-02 16:42:06 +08:00   ❤️ 1
    开心死了哈哈哈哈哈哈哈哈
    xierch
        88
    xierch  
       2015-04-02 17:03:43 +08:00
    @azuis PKP 是一直都有的,和这次 CNNIC 的事没有关系..
    ghovik
        89
    ghovik  
       2015-04-02 17:34:39 +08:00
    原谅我读书少,能不能举个浅显易懂的例子告诉我:
    "Google 撤销所有产品对 CNNIC 的证书信任",会发生什么事情?
    geeklian
        90
    geeklian  
       2015-04-02 18:42:25 +08:00 via iPhone
    chrome不是用的操作系统证书列表么

    ms和apple死也不会翻脸的,mozilla的利益输送关系虽然不那么大,但估计也不会
    genesislive
        91
    genesislive  
       2015-04-02 21:06:54 +08:00
    Google干的漂亮
    wdlth
        92
    wdlth  
       2015-04-02 22:06:36 +08:00
    @mcone 网宿的CDN大多数节点部署了12306的证书。
    mrjoel
        93
    mrjoel  
       2015-04-02 22:35:50 +08:00
    @ghovik chrome在天朝有约30%的市场份额 是IE之后的第二大浏览器
    geeklian
        94
    geeklian  
       2015-04-02 22:52:01 +08:00 via iPad
    @mrjoel 天朝的chrome都是马甲。
    各种多核浏览器,极速浏览器替chrome占的份额。
    这些浏览器今后敢不信任cnnic?作死!
    KexyBiscuit
        95
    KexyBiscuit  
       2015-04-03 05:15:16 +08:00 via Android
    CNNIC 你干嘛和不存在的网站交涉?
    elvis_w
        96
    elvis_w  
       2015-04-03 08:50:13 +08:00
    登陆战网已经提示将来的版本无法访问了,暴雪游戏国服玩家看来是不能用chrome了
    zhuangmingren
        97
    zhuangmingren  
       2015-04-04 23:11:27 +08:00
    @sumhat 向流氓低头,只会让流氓更加肆无忌惮。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1081 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 22:39 · PVG 06:39 · LAX 14:39 · JFK 17:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.