贵 B 快点把 wosign 的证书换了吧

@zccicy 一下

访问了一下 https://api.live.bilibili.com/ 我这才发现自己没有吊销 Startcom 的证书

chrome ？
试试 badidea 有用么

这真是 23333 了

@1234rty chrome 最新版自动的。。。我也没办法。。

@Technetiumer _(:з」∠)_这是啥，插件吗

咦 不说还真没注意这个竟然用的沃通....

你自己吊销了，chrome 肯定不给你显示继续的按钮。

@fengxing I do nothing. 我就重启了下浏览器，就这样了。
Safari 不会，是 Chrome 自己吊销的。

@fengxing 没动过系统内置证书的也一样

@ovear #8
@yexm0 #9 版本 60.0.3107.4 （正式版本） （ 64 位）正常，也许是因为最新的稳定版注销的？或者是老的版本，最新的开发版没问题

这事吧 chrome 这么耍流氓（不给继续访问） 貌似没人批评 反正错嘛 都是 wosign 作死 人家 chrome 这是为你安全着相

#do no evil
#滑稽

我这边并没被 Chrome 阻断掉

@fengxing 我这 chrome 不能打开,ie 可以

@yexm0 #13 你这是很老很老的版本了，现在最新的稳定版是 59.0.3071.86

除了 wosign，还有 StartCom 证书大家要赶紧吊销。
http://www.solidot.org/story?sid=52634

输 badidea

@xx998 #15 还有赛门铁克的证书也得吊销，但是吊销的同时你会发现绝大多数 https 你打不开了

手机 chrome 可以正常打开

我这里刚刚更新到 59.0.3071.86，还是能打开，只会 URL 前面没有“安全”两个字

为什么我仿佛跟你们上的不是一个 B 站。。。

https://ooo.0o0.ooo/2017/06/08/59382991023eb.png

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
事件在 8 月份发生的。b 站的问题是，2016 年 10 月居然还在申请 wosign 的证书。
处理结果是不信任所有 10 月 21 日之后签发的证书，b 站刚好没被波及。

目前的 Chrome 可能已经完全不信任 wosign 的根证书了

@operafans
全部过程在 Mozilla 的论坛进行的。


@fengxing
Chrome 目前正在缓慢的解除对 symantec 的信任

@AsherG #20 你这是主站的。https://api.live.bilibili.com/ 页面是 Wosign 签发的证书。

我打开也没有出现安全警告，还有小绿锁。 更新到 59.0.3071.86 也还是一样。
顺带吐槽一下，59.0.3071.86 的设置页变成跟 Google 系产品 Web 页面一样了。

@operafans 如果你有兴趣可以支持一下我的 https://nohttps.org，可以补充一段关于 HTTPS 给了浏览器和操作系统更多的，去判断一个网站是否「安全」的权力。

@honeycomb #21 并没有完全不信任，只是特定版本的原因

@jybox 你的建议不成立，能窃听就能重放
换个角度再说，你说用 integrity 签名防篡改，那谁来对这些签名的公钥的身份呢？用 CA 的话和 https 不是一样的问题了么？
Linux 发行版会在网上公开公钥，同时提醒你校验 ISO 的 hash，因为他们官网用的 https，所以他可以认为不会被中间人。
最后，如果你只想用 https 的身份验证和数据一致性功能，而不想加密的话，可以使用 null cipher
PKI 不是万能的，但我找不到更好的。gpg 根本不管密钥分发。

我对鼓吹自己吊销密钥表示反对。各大浏览器厂商都有一套审计流程，比用户自己的喜欢 /不喜欢严谨得多。如果 CA 有问题，操作系统和浏览器自然会不信任。

@BXIA 中国互联网与世界互联网是两个不同的世界。
国际公认必须吊销，但到了国内，因某些见不得人政策需要，国产浏览器厂商会被要求保留这些证书。

@xx998 1. 不用国产浏览器，反正跑不出 IE 和 chrome 套壳
2. 老大哥想看你内裤还用得着这么麻烦？

@xx998 作为用户，你有权利选择你认为审计透明的浏览器厂商，比如 Firefox。

不知道贵 B 欠我司的钱什么时候还

@Showfom 哇，欠的是证书的钱？

@Showfom 说出你的故事

已转给同事

版本 59.0.3071.86 （正式版本） （ 64 位）, 没有出现安全警告

为何还不吊销 Symantec 的证书！说白了还是 ideology 在作祟

插个题外话，B 站现在是不是对不是会员的限速了，看个视频缓冲来缓冲去的，好难受。我是 200M 电信宽带……

@mortal 来个 ip 或者 mid 我帮你查问题

@honeycomb 我不是说证书这事，just saying chrome 这么拦截用户访问一个或许没什么问题的页面的手法很霸道

@operafans

我公司内网 Github 用的是 startcom 的证书，上次更新 debian 后 git. 不能提交了，我是不是也要说 git 霸道啊？

@jybox 见上。另外我不对网站的安全配置工作进行任何评价。换句话说 我并不觉得 任何公司或者任何手段 能提供给我足够可信赖的“安全”支持。

@jarlyyn 是的。霸道和安全本身就两个不同概念。git 为了所谓的安全 未经沟通直接 ban 你的提交 不是霸道是什么。
世界警察还经常已安全理由一个导弹飞过去呢，或许，不霸道？

用 xp 下的 chrome，稳定维持在 49 版本，没问题。

唔~ chrome 59 的 setting 界面好看多了。

@fengxing 自己吊销的证书曾经也是有一个继续的按钮

@mortal 感觉更像是对区域限速划分不清的原因。有时候挂个异地的 ss 就行了。

@ryd994 SRI 只是个摘要签名，跟 MD5 类似，服务器端产生，浏览器端核对，摘要签名内容写在主页面中，由 https 保证不被篡改，校验失败即拒绝载入该资源。

@chanssl #22 原来如此。。。话说为什么还要分两家申请证书。。。

谷歌这是要统一自家界面到 Material Design 了

11:04 点进去看到直播解高考题……
一点都看不懂了。

我这没有标红，求解。

@ryd994 我那个网站本意是列出 HTTPS 的弊端，不过目前只有关于 HTTPS 导致的额外计算和传输成本的问题，我上面并没有说完全放弃 HTTPS，只是没必要在所有的地方去使用它（不过这是另外一个话题了）。我在这提了一下是觉得可以把 @operafans 所提到的浏览器禁止用户访问「不安全」的网站很霸道的这件事补充上去。

可以在页面空打 badidea 强行打开 =。=

@jybox 让中间人有更细的审查粒度这一条就可以把整个方案 pass 了……除了引入些很常用的共有库用明文基本没问题外其他资源走不走明文都让站长决定太理想化了，现在对 HTTP 限制这么多不还是有站在裸奔（摊手

@ghost444 我是觉得浏览器不应该去定义什么是「安全」，这个应该由网站开发者来去决定，然后用户选择是否接受。虽然很多开发者和用户并没有这个能力，但浏览器也不应该粗暴地进行限制。我觉得在网页浏览里其实不需要防窃听的程序代码和可公开访问的图片其实还是占了大部分流量，有个人信息的内容是小部分。

@laduary 这个需要自己手动去干掉它

@operafans

”一个或许没什么问题的页面“
一个使用了不受支持的数字证书的页面是一个比较可能有问题的页面

@jybox 很无奈。我觉得 似乎“必须 /强制 https ”已经成为一种 political correctness 了

例如：
”一个或许没什么问题的页面“
一个使用了不受支持的数字证书的页面是一个比较可能有问题的页面

这话跟我说的 没毛病！

@jybox
wosign 事件最早有人在这里报告
https://groups.google.com/forum/#!forum/mozilla.dev.security.policy

@operafans

+1 我觉得这件事应该由站点开发者和用户共同决定

但我想强制 https 不仅仅是为了安全，很多地方 ISP 会篡改 HTTP 传输的资源，直接导致服务不可用。

@AsherG #47 因为 *.bilibili.com 只能覆盖二级域名，不能覆盖三级（及以上）。

贵 A 的 SSL .. 等等 没有么？？？

~ curl -v https://www.acfun.cn/
* Trying 101.226.181.113...
* TCP_NODELAY set
* Connected to www.acfun.cn (101.226.181.113) port 443 (#0)
* Unknown SSL protocol error in connection to www.acfun.cn:-9829
* Curl_http_done: called premature == 1
* Closing connection 0
curl: (35) Unknown SSL protocol error in connection to www.acfun.cn:-9829

@gongjianhui #55 这个我知道啊，我奇怪的是为什么三级域名就要换一家申请。。。这是在试试哪家的“好用”么。。

@wjm2038
@wormcy 租赁 IP 的钱 找负责人直接装死 找熟人去问 好歹不装死谁帮我联系财务 然后又开始装死

我会考虑在适当的时候曝光一下 钱不多 也就万把块 但是这事很恶心就是了

@pixstone 想什么呢 现在 A 还有靠谱技术吗（

@Showfom 建议你下次来魔都的时候直接去找他（抠鼻

@fdb713 我对小气的公司毫无性趣 那天看不惯我就顺手恶心一下 233

不过实话说

比起安全，我更想要一些选择，有的时候可能会有非用不可的理由

空打 badidea，学到了

Chrome 已经变成土共了，什么都要他们说了算。

@NoAnyLove 同头像，同版本，但我的打不开了.

@jybox 网站开发者决定之后用户基本没有拒绝的权利（垄断的问题不想展开讲），不同用户对隐私的敏感程度不同又会出一大堆事情（金融方面的得全加密没争议了，但视频 /图站的历史记录呢，在能看到引用的静态资源之后整合出来不要太轻松），衡量下成本还不如继续用目前已经满足大部分人（除去 Tor 用户）的标准。

@zccicy https://bilibili.com/ 这个子域是故意没设置么？

@zpf124 好神奇！这是为啥？

赛门铁克事件和 WoSign / StartCom / CNNIC 事件性质差不多甚至更恶劣，然后呢，不活得好好的？

不就是喜欢捏软柿子嘛，找个意识形态自己一向看不惯的、用户少的 ban 了以后不会导致自家产品被大规模 complain 的，ban 一下，彰显一下自己注重“安全”

@breeswish
symantec 的证书业务哪里活得好好的？
看一下 mozilla 的那个论坛

@breeswish

Google 在三月份做出的打算
https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/C45hQChFLyc
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B1-25%5D

Symantec 的反应
https://www.symantec.com/connect/blogs/symantec-s-response-google-s-subca-proposal

现在已经换了!

@expy bili.com。。。

换成 Trust Asia 的了…

@zccicy #37 谢谢，不是网页端，是 iOS 客户端（ iPad 版本）。网页端缓冲速度跑得满。是不是要充个大会员？