苹果到现在也没把 CNNIC 证书去掉吗?

已经手动禁止，印象里黄易有几个站点用了这家的证书

证书颁发机构 CNNIC 错误签发了一个中间证书。

这是为数不多强调这一点的，赞一个
大量私人博客几乎不见这条

所以，到现在我还没拉黑，让操作系统自己弄去吧

@580a388da131 酱紫，苹果真是给足了面子.
私人博客不提错误二字是因为 CNNIC 之前也出现过类似的事件（ Github MITM Gamil MITM outlookMITM ），而且如果站在一个技术角度来看，这种攻击原因是很明显能分析到的也是所有安全公司公认的
错误签发这次确实是拿到了数字签名本体所以才出来承认错误……你选择不拉黑，各有各的选择吧

@Vizogood 这些 MITM 是用 CNNIC 的证书签的么？我感觉不太可能。

@Vizogood outlook 那次事件我经历过，证书报错。如果是 cnnic 签发的应该不会报错（那时候还在信任列表里

@squid157 骨干网上 MITM 的能力只有某人能做到......细节不能讨论太多，你可以看看相关技术资料...

@BXIA 你经历的不是那个.....

@Vizogood 你说的是哪次？

禁用 CNNIC 、 WoSign 、 StartCom 这三个的证书是不是就安全了？

不知道你经历的是第一次还是第二次?

@Vizogood MITM 用的自签名证书。 CNNIC 不可能蠢到用自己的证书签。你对 PKI 体系不理解，那种规模的 MITM 是需要在出口操作，但用的证书并非由 CNNIC 签发。

@squid157 https://ooo.0o0.ooo/2017/03/01/58b66afbb322a.png 有些事情咱们互相看看资料好吧? 在这里讨论太多并不合适.

@Vizogood 那实际上咱们看到的事实是一样的，只是做出的判断不一样。你怀疑 CNNIC 也是有理有据的，毕竟中国另外一家证书机构（ WoSign ）做了非常严重的违规操作而被剔除了。