这是一个创建于 3528 天前的主题,其中的信息可能已经有所发展或是发生改变。
CNNIC事件,有个企业内网监控证书的说法,随便什么样的企业能用吗,这个机制本身不是个错误吗?明明是https还有监控。
 |
1
9hills 2015-03-26 03:57:59 +08:00 via iPhone
一般企业的做法是把自定义CA装到机器上,域策略很容易这么做。装自己的CA是没问题的,但CNNIC这次的那个子服务商的做法是不允许的。
|
 |
2
honeycomb 2015-03-26 09:18:42 +08:00
如果没有MITM监控,内网就搞不定HTTPS
实际上现在杀毒软件为了监控HTTPS流量也需要装一张自签名证书来进行MITM,否则只能等到TLS里的内容解密以后它才能看有没有病毒 然后现在还有一个叫做证书Pinning的特性 就是对一个TLS或别的加密协议指定仅能使用某个CA发行的证书 |
 |
3
NewYear 2015-03-26 17:14:22 +08:00
看了下沃通的介绍,大致意思是在企业/类企业环境中,需要给自己的产品/域名打签名,因为部署自己的CA麻烦,还存着兼容性问题,于是是产生了这种中级证书机构。Google的也是如此,还有戴尔也有,其他的忘记了。
虽然没有明说,但是有限制签名数量,或者对签名的域名范围进行限制/审核,比如签名域名的数量有限制,那么问题就出来了,要达到这种限制,必然要在沃通自己的平台上签发证书(猜的)。以达到限制签名数量之类的情况。 价格估计便宜不到哪里去,是不是任何一个企业都可以呢?这个不清楚,我认为是要看限制标准和费用标准,不同的标准,未必是不可以的,但是签名范围肯定是有所限制的。 然而CNNIC这次就是疏忽(猜测),才导致这种事情发生。 说完了。 |
Select Language