V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wildlynx
V2EX  ›  分享发现

Mozilla 考虑对沃通 CA 采取行动

  •  
  •   wildlynx · 2016-08-25 17:22:22 +08:00 · 6065 次点击
    这是一个创建于 3015 天前的主题,其中的信息可能已经有所发展或是发生改变。
    42 条回复    2016-09-27 11:36:21 +08:00
    kamen
        2
    kamen  
       2016-08-25 17:31:09 +08:00
    不作死就不会死
    ivmm
        3
    ivmm  
       2016-08-25 17:33:13 +08:00
    我觉得沃通也被屏蔽了。 将使中国自己的证书签发被外人牵着鼻子走。

    而且拿沃通干坏事的有,但是还是有很多正经站长用沃通的。
    kamen
        4
    kamen  
       2016-08-25 17:33:58 +08:00
    @livid 全文转载,且没有注明链接
    coolcfan
        5
    coolcfan  
       2016-08-25 17:36:09 +08:00
    @kamen 第一行那个 solidot ?
    kamen
        6
    kamen  
       2016-08-25 18:19:07 +08:00
    @coolcfan 看丢了,抱歉。不过全文转载在这里的确不受欢迎
    xupefei
        7
    xupefei  
       2016-08-25 18:30:30 +08:00
    如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.comgithub.iowww.github.io 的证书

    真的假的,有这么厉害?能这么搞得话,玩法可就多了啊……
    ZE3kr
        8
    ZE3kr  
       2016-08-25 18:49:32 +08:00 via iPhone
    @xupefei 有,比如他们会自作主张的要求把

    随机数.example.com 解析到某个东西,就能申请主域名

    我先试试能不能申请 com.cnnet.cn 这些域名的证书试试
    AstroProfundis
        9
    AstroProfundis  
       2016-08-25 19:23:16 +08:00
    拥有子域名自动拿到上级域名的证书,这个真是碉堡了...一副 CDN 厂商的思路做 CA...
    AstroProfundis
        10
    AstroProfundis  
       2016-08-25 19:53:09 +08:00
    @AstroProfundis 不过说实话,看完下面似乎是 WoSign 相关负责人的回复,处理态度还是不错的...
    wdlth
        11
    wdlth  
       2016-08-25 19:57:48 +08:00
    还有 EV 证书上的“安全认证”呢……
    dongoo
        12
    dongoo  
       2016-08-25 20:08:21 +08:00 via Android
    @ZE3kr 我要去试试 gov. cn
    20140930
        13
    20140930  
       2016-08-25 20:24:30 +08:00
    沃通自称是龙根,现在有被阉掉的可能啊?
    RqPS6rhmP3Nyn3Tm
        14
    RqPS6rhmP3Nyn3Tm  
       2016-08-25 20:27:02 +08:00 via iPhone
    @ZE3kr 很对证书商都支持 dns 方式验证啊,我倒是觉得这种验证没什么问题
    wql
        15
    wql  
       2016-08-25 20:44:34 +08:00 via Android
    > 2015 年 6 月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名( Base Domain )的证书,如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.comgithub.iowww.github.io 的证书
    开个脑洞(胡说八道),难道我申请了 wangqiliang.cn 证书,就可以申请.cn 根域名证书吗😂😂
    wql
        16
    wql  
       2016-08-25 20:46:50 +08:00 via Android
    wql
        17
    wql  
       2016-08-25 20:48:31 +08:00 via Android
    他们如果能够认真研究一遍 Mozilla PSL 就不会出这种事了
    lshero
        18
    lshero  
       2016-08-25 21:00:13 +08:00 via iPhone
    @ZE3kr 要这样子的话那些免费动态解析的二级域名买主机赠送的域名都要哭晕在厕所了
    strwei
        19
    strwei  
       2016-08-25 21:19:46 +08:00
    不久后 ’ 让我们加密吧 ’ 也得被查
    wql
        20
    wql  
       2016-08-25 21:24:06 +08:00 via Android
    @strwei 他们自有的根证书 ISRG Root X1 刚刚被列入谋智的证书信任库。
    mdzz
        21
    mdzz  
       2016-08-25 22:23:08 +08:00   ❤️ 4
    DbaseIII
        22
    DbaseIII  
       2016-08-25 22:31:11 +08:00
    这个 WoSign 跟联通有关系么?我一直以为是联通的,早就在 android 中将它屏蔽了。
    wql
        23
    wql  
       2016-08-25 22:37:13 +08:00 via Android
    @mdzz 我嘞个擦……恕我直言,看完这个 CT Log, 个人认为沃通就是○○,不再使用该家的证书。
    imlonghao
        24
    imlonghao  
       2016-08-25 23:02:07 +08:00
    作为一个 CA 的可信度已经大大降低了
    laydown
        25
    laydown  
       2016-08-25 23:02:27 +08:00
    我在 Firefox 里已未雨绸缪屏蔽所有它的证书了,。
    sujin190
        26
    sujin190  
       2016-08-25 23:27:15 +08:00
    @mdzz 这都行。。牛逼
    redsonic
        27
    redsonic  
       2016-08-26 03:27:48 +08:00
    几年前开始在我编译 mozilla 的 nss 时候就把镇子里面所有的 CA 踢了出去 还有香港的那家。从未遇到访问哪个站提示找不到 wosign 的 CA 签名
    Livid
        28
    Livid  
    MOD
       2016-08-26 05:27:52 +08:00 via iPhone
    V2EX 禁止全文转载,原文已经去掉。
    wql
        29
    wql  
       2016-08-26 09:21:39 +08:00 via Android
    @DbaseIII 没有关系。沃通是一家深圳的民营 CA 企业。
    lubuwei
        30
    lubuwei  
       2016-08-26 10:18:50 +08:00
    最近刚开始琢磨证书, StartSSL 没问题吧?
    貌似也有免费的哈。。。?
    Marfal
        31
    Marfal  
       2016-08-26 11:48:21 +08:00
    Shura
        32
    Shura  
       2016-08-28 10:50:18 +08:00
    redsonic
        33
    redsonic  
       2016-08-28 11:33:59 +08:00
    @Shura 衙门那些应该没影响,好像只有里面的网宿有潜在的影响。另外 wosign 的和 startssl 其中一个 CA 证书有交叉授权吧,如果我把 startssl 的那个也踢出去影响确实大了。
    Shura
        34
    Shura  
       2016-08-28 19:18:49 +08:00
    @redsonic 不清楚,反正我博客用的就是 woSign ,主要是方便,一次能申请三年的。
    Cu635
        35
    Cu635  
       2016-09-20 11:48:35 +08:00
    @redsonic
    是 startssl 还是 startcom ?
    redsonic
        36
    redsonic  
       2016-09-20 14:26:13 +08:00
    @Cu635 startcom ,最新消息是 wosign 官网说明完全买下了 startcom 。
    Cu635
        37
    Cu635  
       2016-09-20 22:50:47 +08:00
    @ivmm
    坑老乡最狠的就是老乡。

    @redsonic
    刚发现, startcom 是被 wosign 收购的,而 startssl 的 pki 平台是由 360 运行了。俩都不靠谱……
    redsonic
        38
    redsonic  
       2016-09-21 00:09:06 +08:00
    @Cu635 现在系统层面我对证书设置的是白名单制,只信任最常见的 CA ,总数不超过 10 个。翻翻 mozilla ,巨硬和苹果的默认信任都超过 100 了,里面有一个老鼠屎就坏一锅。 CA 现在反而成了最薄弱的环节,巨头们是时候提供一个 checkbox 让用户自己选择信任那些 CA 了。
    wql
        39
    wql  
       2016-09-21 23:37:47 +08:00 via Android
    @Cu635 wosign 也差不多快被 360 收购了
    Cu635
        40
    Cu635  
       2016-09-22 11:10:49 +08:00
    @wql
    不是说 wosign 的股东之一是 360 么。这个和被 360 收购还是不一样的吧。
    wql
        41
    wql  
       2016-09-22 20:42:15 +08:00 via Android
    @Cu635 五个股东中三个是三六〇的全资关联公司,三家总计占到沃通约 84 个百分点的股权,这和被收购已经没有本质区别, 360 实际上可以完全控制沃通。
    orvice
        42
    orvice  
       2016-09-27 11:36:21 +08:00
    https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview#

    挺严重的各种问题了。。 ca 做成这样子不 revoke 不行啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3811 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 05:05 · PVG 13:05 · LAX 21:05 · JFK 00:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.