这是一个创建于 3590 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
oott123 2014-06-25 12:24:48 +08:00 via Android
为什么不信任国内 CA 呢…
这些 CA 也是靠 VeriSign 之类的 CA 签信任链的吧… 那是不是相当于 VeriSign 签的你也不相信了呢… 又不是铁道那种自签名的 CA … |
 |
4
jerryjhou 2014-06-25 12:37:29 +08:00  1
|
 |
5
billlee 2014-06-25 13:02:42 +08:00
因为这是一个 suboridinate CA, 上面有被信任的 root CA 的签名,所以被信任了。
Suboridinate CA 的安全性是近两年来才引起关注的,在 2011 年发生了 Entrust, Inc. 的一个 subridinate CA 签发了弱密钥证书的事件。 https://blog.mozilla.org/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/ 现在 Mozilla 的政策是要求 suboridinate CA 的 policy 必须符合 super CA 的 policy. Super CA 要每月对自己的 suboridinate CA 做审计,并且不允许 suboridinate CA 再给第三方 suboridinate CA 签名。 |
 |
6
caizixian OP |
|
7
billlee 2014-06-25 13:34:13 +08:00
@caizixian certmgr 好像不会保存 intermidate CA, 可以用 Firefox 打开用了这信任链的网站,然后就可以在 Firefox 的证书管理器里面把 intermidate CA 导出来。
|
|
8
caizixian OP |
 |
9
devz1984 2014-06-25 14:38:26 +08:00
太洁癖了。
国内的CA不信任的话, 以后是不是每个网站的认证都要打开看看。 |
 |
10
ehs2013 2014-06-25 17:16:59 +08:00
Verisign 中国的证书也不要新人就好了
嗯,就是那个 Verisign Class 3 CA |
 |
11
woyao 2014-06-25 17:46:06 +08:00
wosign被windows内置了,在xp最后一次补丁的时候。
|
 |
13
wy315700 2014-06-25 18:01:10 +08:00
我想知道LZ有什么需求要对SSL证书那么关注。
|
|
14
woyao 2014-06-26 10:07:35 +08:00
|
Select Language