V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iButterfly
V2EX  ›  SSL

要删除 Wosign 沃通的 SSL 证书吗?最近 SSL 伪造的事件不少

  •  
  •   iButterfly · 2014-10-04 11:57:25 +08:00 · 25258 次点击
    这是一个创建于 3696 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近大规模官方劫持DNS伪造SSL证书:微软、谷歌、雅虎事件。
    虽然目前用简单的假证书,但以后呢?
    CNNIC证书很多人都放入不信任证书里面了。
    Wosign沃通也是国内公司,命令它发证书,它能不给吗?

    另外Wosign也是
    AddTrust External CA Root(UTN - DATACorp SGC)
    StartCom Certification Authority
    的子CA。

    系统可以把Wosign的根证书和子CA都单独加入不信任,而不影响AddTrust、StartCom的使用。
    但是Firefox呢?似乎没有办法在不影响根证书的情况下不信任子CA。

    Wosign在国内企业有一定使用量,不信任可能会造成国内一些网站的不方便。

    @Livid 可以帮删除下吗?
    https://www.v2ex.com/t/121528
    https://www.v2ex.com/t/121642
    61 条回复    2020-03-27 18:06:49 +08:00
    Livid
        1
    Livid  
    MOD
       2014-10-04 11:58:47 +08:00
    关于你最后的问题,V2EX 的规则是,有人回复的主题就不能被删除。
    ehs2013
        2
    ehs2013  
       2014-10-04 12:09:49 +08:00   ❤️ 2
    一句话:我还没见过像印度一样利用验证过根证书的证书来进行 MITM 的事件。所以无论是 CNNIC 和 WoSign 还是 12306 及各类网银证书,都信任
    CRight
        3
    CRight  
       2014-10-04 12:46:15 +08:00 via iPad
    CNNIC到目前为止还没做什么出格的事。
    ChanneW
        4
    ChanneW  
       2014-10-04 14:06:46 +08:00
    @Livid 但是楼主又是可是删掉回复的是吧.
    Livid
        5
    Livid  
    MOD
       2014-10-04 14:16:11 +08:00
    @ChanneW 回复和主题只有管理员可以删除。
    mornlight
        6
    mornlight  
       2014-10-04 14:23:16 +08:00
    没懂什么意思。wosign是商业公司,颁发假证书这种事应该不至于吧,他还要吃饭。
    jasontse
        7
    jasontse  
       2014-10-04 14:43:20 +08:00 via iPad
    WoSign 应该要定期接受 StartSSL 审计,问题不大。最怕的是 CNNIC 这种 Root CA,还有 Sinorail Certification Authority 这种自己安装的 CA。
    YonionY
        8
    YonionY  
       2014-10-04 16:09:06 +08:00
    不能理解安装12306证书的行为,一年买不了几次票,买票的时候点一下继续访问不就可以了吗?
    whywhywhy
        9
    whywhywhy  
       2014-10-04 16:52:01 +08:00
    这个问题讨论过多次了,受信任的证书机构,是受监督的,只要谁敢拿自己的来造假证书,很快就会被封杀,被取消信任,只要被抓一次就惨了,以前有信任的证书颁发机构被黑的情况,结果就是大家都不敢信任他了,后果很严重!
    whywhywhy
        10
    whywhywhy  
       2014-10-04 16:52:59 +08:00
    @YonionY 5块钱ssl证书都买不起,你要淡定
    Quaintjade
        11
    Quaintjade  
       2014-10-04 17:46:20 +08:00
    @whywhywhy 随着SHA-1破解成本越来越低,再过段时间,被抓也未必能打死。

    比如它签发一个SHA-1签名的证书用于MITM,你截取了这张证书说是它伪造的,它反咬你一口说你背后有XX提供技术资金支持,花点钱破解伪造证书来构陷它。
    在2016~2017年系统及浏览器逐步停止信任SHA-1之前,碰撞一个SHA-1的成本应该已经降到$50k以内了(已是保守的预计),而且美帝又有撞MD5的前科,说你截获的证书是碰撞出来的你很难自证清白。
    whywhywhy
        12
    whywhywhy  
       2014-10-04 18:08:37 +08:00
    @Quaintjade 我对这个还真心不怎么在意,反正chrome和ie和ff能自动更新,银行自己也会注意,到不安全的时候自然就会采取措施了,比起这个,我更在意我肚子上的赘肉。
    xoxo
        13
    xoxo  
       2014-10-04 21:40:43 +08:00   ❤️ 1
    楼主多虑了。

    向楼主问几个问题:
    1. CNNIC SSL不可信,你有伪造的证书的证据吗?
    2. WoSign SSL不可信,你有伪造的证书的证据吗?

    这是一个法制社会,谁主张谁举证,你拿不出证据,你的主张就不成立。




    另外,从国际标准来说,
    CNNIC SSL ROOT 和WoSign 1999 两个根证书,每年均需经过WebTrust审计,对系统安全性、PKI可靠性等多项指标进行评级。
    如果有任何一家通过WebTrust审计的CA欲级任何攻击用户安全、威胁SSL信任体系的组织个人提供方便,WebTrust会立即进行事件评估,紧急通知各大操作系统(Microsoft、Apple、Linux Branches...)和各大浏览器厂商发布强制补丁,取消能做恶CA的信任。
    历史上存在过一次相应的事件,荷兰的DigiNotar被伊朗黑客攻击,颁发国几个Yahoo.com子站和Google.com子站的伪造证书,被用户举报后纷纷被各大浏览终端、系统厂商和谐掉,然后这家公司就破产了。


    如果CNNIC SSL胆敢做出类似行动,不仅仅是威胁中国网民网络安全那么简单,更会让中国经济环境变得恶劣(一家政府部门都公然欺诈),国际社会会被这个国家做出制裁的!

    退一步讲,WoSign虽然是一家商业公司,没有政府职能,但一旦被发现有欺诈的痕迹,迅速这家公司也会破产,其累计数据的信任资源和品牌投入毁于一旦,得不偿失!


    综上,楼主多虑了。




    ________________________________________
    xoxo 原创,
    未经授权,禁止转载.
    Quaintjade
        14
    Quaintjade  
       2014-10-04 22:48:11 +08:00
    @whywhywhy 这里指的显然不是银行。


    @xoxo
    “不仅仅是威胁中国网民网络安全那么简单,更会让中国经济环境变得恶劣(一家政府部门都公然欺诈),国际社会会被这个国家做出制裁的!”

    TSSN...
    美国以色列搞伊朗时就造过假证书,然后呢?

    假证书搞垮一家证书商还有可能,影响经济坏境什么的是想多了。
    而且如我在11楼所说,接下去两三年,就算你抓住了那张证书,都难以完全证明那是证书商签发的。
    whywhywhy
        15
    whywhywhy  
       2014-10-05 03:15:01 +08:00
    总结:所谓的危险性,在于你的重要性,你重要,则这些手段根本无法防范,你不重要,就算满电脑漏洞也没人利用。

    @Quaintjade 这么说吧,你删不删都没意义,为什么没意义?命令qq公司给你下载个临时的证书机构在你电脑上,命令360公司下载个证书机构在你电脑。命令你电脑所有国产软件公司导个证书轻而易举。完事后还能自动删除。不留痕迹。

    你电脑一般来说还会装有银行的,支付宝的认证机构。反正信任的机构不是一个两个,你自己可以去翻

    你删,你尽情的删。

    我为什么我说轻而易举?因为什么事情都得看是站在什么角度去处理,从国家的角度去考虑得失,企业又如何能不配合?
    换句话说,给你1亿让你离婚你离不离?这是答应的结果,不答应的结果,呵呵,呵呵,很多事情不是道理、正义、和谐就能赢的。讲道理有用,那还训练什么军队,搞什么核弹?全世界几百个国家讲讲道理,世界和平就到来了!?

    企业一配合那还了得!导个证书几行代码就搞定的事情。

    不答应?谷歌还能退出中国,你叫腾讯叫360给我退出中国看看?

    你们只考虑到一个信任机构被装在电脑了,你可想过没有那些装在你电脑上的软件,给你装个证书进去是何其容易?

    非要这样去恶劣的想,你还真的太低估了,任何人都是没办法和国家为敌的,你想到的永远是片面的。

    或许你可以不用这些软件,但是你永远无法阻止所有人不用……就算你不用这些,也保证不了任何软件都不存在后门,因为后门真的很容易……也就是几行代码的事情。

    总结:所谓的危险性,在于你的重要性,你重要,则这些手段根本无法防范,你不重要,就算满电脑漏洞也没人利用。
    Quaintjade
        16
    Quaintjade  
       2014-10-05 10:24:26 +08:00 via Android
    @whywhywhy
    你又想当然了。
    实际上我删过,然后发现国内这些证书删掉后对网银、支付宝一点影响都没。
    明白了吧?因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书(忘了哪个域名),用自签证书只是因为把真证书部署在人家CDN上有风险。

    完事后自动删除,说得好像轻轻松松,但加证书就是为了常驻一段时间(否则既然能塞根证书,什么权限不能有?),这段时间内就有机会被抓。

    然后你后面的那一大堆完全是在无限扩大概念,却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性,反观你举的那些例子全都只是在极端情况下有可能。
    Quaintjade
        17
    Quaintjade  
       2014-10-05 14:05:15 +08:00
    找到了,12306由Verisign签发的证书: https://epay.12306.cn/
    用自签证书的另一点理由是,有些证书(尤其像verisign之类的OV以上级别)会限定IP数量,添加IP要加钱,这样CDN就太费钱了。
    whywhywhy
        18
    whywhywhy  
       2014-10-05 14:33:17 +08:00
    @Quaintjade 你就是想说,我家里的门上有一把锁,为了防止万能钥匙开启,干脆就把钥匙孔封住了,于是你认为安全了,但是强盗要进你家门,直接拿炮轰开就好了,会和你拿钥匙吗?(删除国内证书机构,自认为安全)

    平白无故的谁又来拿炮哄你家门?花这么大成本对付你有什么好处?(花大成本去伪造,你值得谁去这么做?)

    做一件事情之前,先考虑下得失,先考虑下前因后果,你总是把自己列为重要人物,国家要追杀你,要监听你……(你有被害妄想症吧)

    你是不是想太多了?就算监听,你又有什么特别的可以监听的?你上个1024网有什么好在意的?你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多,你觉得自己有什么可以被监听的,有什么独特的,事实上你也就一普通人,你有的别人都有,你在做的别人都在做,你所有的缺点,欲望,贪心,恐惧,无安全感,在别人身上也都有。(你在自己眼里很特别,但是在别人眼里,你也只是凡人一个,就算你在某方面很强悍,但是进入到尖端人才的圈子里,你又能位列第几?)

    就算你有三头六臂……那又有什么奇怪的,双头人都出现不止一个了,双性人也证明是存在的(就算你真的很特别,特别的人你也不是第一个存在)
    Quaintjade
        19
    Quaintjade  
       2014-10-05 18:41:56 +08:00
    @whywhywhy
    你到底有没有看清我在谈论什么?
    我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息?我根本没在说这事好吧!

    我在说的是,CA可以零直接成本地签发假证书,而你以为的吊销CA资格等巨大间接代价未必会发生,这就是我在说的。我提到的几十万美元是反咬时可用的借口,实际上根本没人付出这笔钱,懂不?

    你说的一切都是建立在伪造成本过高、得不偿失的基础上的。但如果成本几乎为零,而且是非针对性的大范围覆盖,那就有可能发生——参考某墙。
    别以为你要有多特殊才有人监控你。没人有意要监控你,只是顺便把普通的你覆盖了而已。
    whywhywhy
        20
    whywhywhy  
       2014-10-05 19:01:45 +08:00
    @Quaintjade
    "我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息?我根本没在说这事好吧!"

    "CA可以零直接成本地签发假证书,而你以为的吊销CA资格等巨大间接代价未必会发生"

    "但如果成本几乎为零,而且是非针对性的大范围覆盖"

    "没人有意要监控你,只是顺便把普通的你覆盖了而已"



    从你的文字里我明白了这几件事情,没有人在意我,我只是被无辜的覆盖,这样的操作0成本。



    ****既然我是无辜的,既然不针对我,我也是守法公民,我担心个毛线?被监听一下劫持一下又有什么关系?****


    另外"CA可以零直接成本地签发假证书“,风险也是成本的一种好吗?我从楼上丢个石头下去,砸死人也是零成本的,但是风险呢?风险难道就不是成本的一种?吊销资格的结果是什么你懂我懂大家都懂。

    全世界那么多国家有CA证书颁发的机构,谁都有可能伪造,那何必搞什么信任列表?你直接让大家清空就好了。(任何一家都无法完全避免人为造成伪造证书的事情)
    whywhywhy
        21
    whywhywhy  
       2014-10-05 19:13:58 +08:00
    @Quaintjade 你总是在说可能,可能伪造,可能做这样的事情。

    你始终不去想一个问题,为什么要去做这样一件事情,做这样事情的原因是什么,成本是什么(风险也是成本的一种),结果是什么。

    所谓的结果就是你受到什么影响了?监听?隐私?你上qq上面就有你全部的聊天记录,随时可查,那是不是大家都不要用qq了?但是只要不违法,监听一下,可查又如何。

    而且这样大大的保护了我们的安全(别人去查肯定是查坏人),你总是去想着负面的事情,能想得好一些吗?能不能不要总是瞎想那些有的没的

    如果都涉及到国家级别了,那说明事态严重,那么严重的事情你参合个什么劲,你这是在为坏人提供方便。对你又有什么好处?

    既然没有好处,又不关你的事情,又是国家大事,你确定要参与进去吗?
    Quaintjade
        22
    Quaintjade  
       2014-10-05 21:42:44 +08:00   ❤️ 1
    @whywhywhy
    你果然开始转移话题、撤退到第二条防线了,从讨论CA是否会伪造证书这个话题移开,退而辩论即使监视也没什么大不了的。

    针对你试图移开的那个话题:

    风险是一种成本没错,但之前你认为CA资格被吊销几乎是100%,而我告诉你这种概率并不高,而且接下去几年随着SHA-1变脆弱而会越来越低。这样一来,成本就可以低于收益,CA自发或受迫签发伪证书就有可能,而且越来越高,直到系统和浏览器彻底拒绝SHA-1。自己同时承担收益和成本的商业公司,这种可能性依然很低;成本(风险)由公司承担,收益由其他组织承担,并通过“不配合时的负收益”这层联系来强迫,可能性就大得多;如果成本收益都由非商业的组织承担,且这个组织有足够的理由反咬别人碰撞Hash,那可能性就更大。

    我一直在强调这种可能性的现实合理性,你却一味地举极端情况的例子(任何XX都不能XXX,所以XXX),这对辩论毫无帮助。


    针对你撤退到的新防线:

    第一,“别人去查肯定是查坏人”这是多天真的想法啊。去查的是认为需要查的人,主要是与自己意见不一致的人,坏人自然包括其中,但比坏人的包含范围大得多。当然,如果你把所有被查的都定义为坏人那就没啥好说的了。

    第二,ZF插手的事一定是国家级别的事?你又在错误扩大概念了。一系列人或事叠加在一起是重大的,重大到ZF有理由签发假证书,但其中的涉及的人或事未必是重大的,甚至其中大多数的人可能是渺小的,渺小到普通人有意无意就牵涉其中。由于ZF并不会明确说明界线在哪里(一贯如此),所以有意无意牵涉到是很可能的。

    第三,可查又如何。是的,我并不担心ZF查我各种资料,也不担心企鹅能查我所有的聊天记录,因为查的人与接触到的数据都可预见。但如果证书被伪造,那么数据与接触数据的人的可预见性就大大降低。例如ZF把破解的证书架设在第三方(很可能是个半官半商机构)服务器上,那么这个第三方就能趁机获取它本应无法接触的数据。
    别总是摆出一副隐私算个屁的样子,这像说反正内裤被看过了,干脆裸奔吧。企鹅能看QQ聊天记录无所谓,企鹅能看你档案你愿意吗?
    whywhywhy
        23
    whywhywhy  
       2014-10-05 22:34:24 +08:00
    @Quaintjade 一个(次)你可以说是意外,两个(次)你可以说是临时工,三个(次),五个(次)……的时候你还能说这是意外,这是碰撞,这样还不被吊销资格我就服了你。

    就像上面说的,这是一个法制社会,你这样毫无证据混淆视听,甚至预判ZF会怎样做,预判信任体系的管理者不作为。前者有前科你可以不信任(事实上哪国没有黑幕呢,没有黑暗面呢?),事实上我也不信任,但是有一个管理这个信任体系的机构存在,我觉得比你在这不断的争辩要靠谱得多。

    说句不厚道的话,你觉得cnnic不靠谱,你要删证书,你为什么不去向管理这个体系的机构投诉,抗议,申诉?为何不走正规合法途径去解决此问题呢?比起你在这里疯狂的争辩,我觉得那样有效得多。
    Quaintjade
        24
    Quaintjade  
       2014-10-05 22:45:03 +08:00
    @whywhywhy 于是你又把论点退缩到了 一次有可能、多次不可能,事实上我想说的就是一次有可能。一次就够本了。

    事实上我自始自终都没有提出过是否应该删除CNNIC或沃通,最初我回这个帖子只是针对你说的“谁敢拿自己的来造假证书,很快就会被封杀,被取消信任,只要被抓一次就惨了”,你说我要删证书又是由何而来?

    只能说你从头到尾都没有看懂我到底在讨论什么,就在这里疯狂的争辩。
    whywhywhy
        25
    whywhywhy  
       2014-10-06 00:41:49 +08:00
    @Quaintjade
    既然你要从头到尾我引用你@我的话:
    1.随着SHA-1破解成本越来越低,再过段时间,被抓也未必能打死。

    (这是你第一次在这个帖子@我的第一句话)
    仔细看看你最后的那句话”被抓也未必能打死“,你这句话是肯定呢?还是否定呢?还是不太确定呢?如果你自己都不确定,那你@我是何意?告诉我你也不确定?你自己都不确定,你还来@我,是何意?想搞得我也不确定?
    你真的很无聊。不确定就不要说嘛,没有证据就乱说是不对的。而且你自己也不确定,那就更不能乱说了。
    从头到尾你就不确定,你还争什么?


    2.在2016~2017年系统及浏览器逐步停止信任SHA-1之前,碰撞一个SHA-1的成本应该已经降到$50k以内了(已是保守的预计),而且美帝又有撞MD5的前科,说你截获的证书是碰撞出来的你很难自证清白。

    50k美金也就是30w人民币,30w人民币的成本如果走合法途径,那么一定会留下蛛丝马迹,走洗钱的途径,洗钱本身就违法。要证明自己是清白的,并不难。什么!你说的是ZF要伪造个证书来劫持你?那还是别挣扎了,兄弟我已经说到了,和ZF作对是没有好处的,搞不过的。

    3.美国以色列搞伊朗时就造过假证书,然后呢?

    假证书分两种,一种是没有受信任证书机构颁发的,这种证书谁都可以造,无意义。第二种是是有证书机构颁发的,那么问题是,是哪个机构颁发的呢?请列举出来。

    4.你果然开始转移话题、撤退到第二条防线了,从讨论CA是否会伪造证书这个话题移开,退而辩论即使监视也没什么大不了的。

    CA也好,其他任何人和组织也好,要伪造一个证书,起码要有一个动机,动机又因为结果而决定可以付出的成本,伪造证书的成本就是风险,被吊销信任列表的风险,甚至被列为所有人都不信任的风险。这就是不作恶的保障,这就保障了对方不能作恶,作恶被抓到证据就会吊销资格,会被大家不信任。
    换句话说,任何一个信任列表中的机构都是有可能伪造证书的,因为最不安全的就是人类,只要有人参与过程(没有人参与,机器也无法自动化),那就没有绝对的安全。所以我在反复提到一个东西,成本和风险还有动机。

    5.于是你又把论点退缩到了 一次有可能、多次不可能,事实上我想说的就是一次有可能。一次就够本了。

    谢谢你的配合,你这句”事实上我想说的就是一次有可能。一次就够本了。“说的太棒了。因为这句话所透露的内容就是,即便成本再大(被扔进不信任列表),一次也值得。
    既然只能一次也值得,那么世界上任何一家机构都无法避免,因为”只做一次“这样的情况是无法预防的,所以给你的忠告就是,清空你的证书颁发机构的信任列表。因为随时都有可能被”只做一次“给碰上。
    既然愿意花这样的代价去劫持谁,说明那个被劫持的人的电脑(或许还有一些无辜者)很重要,竟然要用掉这”一次就够本了“的机会。那么这么重要的一个事情,还不能称之为大事?这样的机会还不是用在坏人身上?你玩我呢?
    既然是大事,那肯定跟我没关系,我没那么重要,就算被小范围的劫持到了,那又如何,我又不犯法,而且仅仅是一次而已,我还是可以接受的,明白?这样的几率小到比彩票还低,那我还不如直接去买彩票呢,说不定还能中五百万。

    所以综上所述,你知道你在说什么了吗?你知道我在说什么了吗?你现在为什么明白为什么我说你有被害妄想症了吗?真心不知道你在和我争什么。
    julyclyde
        26
    julyclyde  
       2014-10-06 08:48:01 +08:00   ❤️ 1
    @Quaintjade 证书里不含IP,哪儿来的加IP多收钱?
    Quaintjade
        27
    Quaintjade  
       2014-10-06 12:49:18 +08:00
    @whywhywhy
    1. 你说得很肯定,我说不一定,而且不是钻牛角尖极端情况的不一定,为什么不能争了?

    2. 你到现在都还没看懂我说的是什么。都说了,实际根本没人支付这笔钱,反咬的借口而已。

    3. Microsoft Enforced Licensing Intermediate PCA certificate authority
    http://en.wikipedia.org/wiki/Flame_%28malware%29

    4. 成本风险动机我都讨论过了,你始终无视,只会用“任何XXX都不能XXX”来回复。

    5. 成本=被撤销的代价*被撤销的概率,你始终在盲目夸大成本。然后还无视(或者理解不了)我说的非重大价值可以累积成重大价值这一点。

    你自始自终都沉浸在自己的妄想中,无视和扭曲别人的观点和论证。
    Quaintjade
        28
    Quaintjade  
       2014-10-06 13:05:18 +08:00   ❤️ 1
    @julyclyde 说错了。不是IP,是number of servers

    技术上无法限制,但为了多赚钱,有CA会从条款上限制server license的数量(实际如何限制就不清楚了)。

    https://www.gogetssl.com/extended-validation/symantec-securesite-pro-ev-ssl/
    http://security.stackexchange.com/questions/54442/how-can-ssl-vendors-limit-the-amount-of-servers-they-can-be-installed-on
    whywhywhy
        29
    whywhywhy  
       2014-10-06 14:56:04 +08:00
    @Quaintjade 已block,原因如下

    1.你自己都不确定的观点,还指望让别人理解你,让别人懂你,让别人承认你这个自己不确定的观点,无论你再解释多少次都毫无意义。

    后面的不回答了。一直在主观的“预测”别人还未做出(从未做出)的违规行为,主观的预测那个时候没有有效的手段来阻止。这样的预测我认为是恶意的,在事情没有发生之前(时间未到来之前),做出这样的预测是不负责任的。

    观点自己不确定,一切又建立在预测之上,还是负面的预测,这样的恶意的预测将对他人产生误导。多年以前月光博客也做出过类似的预测(CNNIC进入信任列表),结果事实呢?事实就是几年过去了,谁也没有抓到过它伪造的任何一张证书的证据。然后这个事情就淡出了大家的视线。现在我不想再被这样负面的猜测来误导了。
    Quaintjade
        30
    Quaintjade  
       2014-10-06 16:41:05 +08:00
    @whywhywhy 已block。

    本来就是为了指出你错误的观点,你却一而再再而三无视、扭曲我的观点和论据。
    就像你这贴又提出一个扭曲的观点,说我是在预测。事实上我并未作出预测,又是你脑补的产物。

    你一直在用稻草人论证来无理取闹罢了。
    whywhywhy
        31
    whywhywhy  
       2014-10-07 12:00:53 +08:00
    @Quaintjade 真是搞笑。我已经说得很清楚了,信任列表中的证书颁发机构是有专门的组织来管理和监督的。谁作恶就吊销谁。你非要说hash碰撞已经成为可能,甚至成本保守估计50k内,甚至有人举报都可以申述为是恶意碰撞(恶意碰撞出证书,以此对颁发证书机构进行举报),还提出作恶0成本(自己可以随意签证书,作恶无难度)。后面我提出这样的作恶(伪造证书)是风险很大的,被抓的必然性就是不再受信任。而你提出的是什么?你提出只作恶一次就够本了。那就是说抓到也无所谓了?

    也不知道是谁在胡搅蛮缠,明明是自己缺乏安全感不信任这个信任体系,既然如此,那你清空信任列表就好了。使劲在这误导人,你如何博取他人的信任
    Quaintjade
        32
    Quaintjade  
       2014-10-07 14:35:38 +08:00 via Android
    @whywhywhy 哈,你继续胡搅蛮缠好了。
    作恶一次就够本的意思是被抓到也无所谓?脑洞真大。我只是在说没必要再做第二次而已,所以你说的必然不再受信任就是错的,因为你是基于会伪造很多次的基础上。

    你下一段又是打稻草人和列极端情况,除了这你还会啥?
    whywhywhy
        33
    whywhywhy  
       2014-10-10 23:02:26 +08:00
    @Quaintjade 真心笑了,你是赖上我了吗?故意说block你了,你还真上当,接着就说block我了,接着我回复你,结果你block了还跑来回复,太搞笑了。还说我胡搅蛮缠,是你自己才对吧。

    别跟我学了,谢谢,不回了,你爱怎么折腾怎么折腾。
    Quaintjade
        34
    Quaintjade  
       2014-10-11 18:23:45 +08:00
    @whywhywhy 呵呵,早就知道你不会block,随便钓一下果然就把你钓出来,还死要面子装成故意,真是逗。
    胡搅蛮缠的你自动滚粗吧,不过看你嘴上说着不回,待会儿大概又屁颠屁颠跑来回复了。
    wsvicky
        35
    wsvicky  
       2014-10-16 11:12:56 +08:00
    @xoxo 你真算得上SSL 证书专家,说得很在理。微软认可的CA机构如果出现发错、伪造证书的情况,一夜之间会破产,所有的努力就白费了…… 沃通 会这样自取灭亡吗?所以说 沃通 WoSign SSL 全球标准,值得信赖! 你值得拥有
    ragnaroks
        36
    ragnaroks  
       2014-11-12 09:27:20 +08:00
    @whywhywhy 作为一个程序猿,我深受GFW的困扰,但是站在国家层面讲,如果我是当权者,我会做的更绝,
    毕竟中国民智未开,很容易受到反动势力的煽动.
    在ssl这件事上,我也觉得没必要,退一万步讲,直接让微软在简体中文版系统里面内置后门,否则滚出中国,
    谷歌说过不作恶,但是微软可没有说过.
    郭嘉要搞人还是很简单的,只不过几个屁民成不了什么事.
    ragnaroks
        37
    ragnaroks  
       2014-11-12 09:33:00 +08:00
    综上所述,ssl除了自签证书绝对不信任意外,其他的受信任根我也认为没有必要删除,蓝色圆球头像的那位很有危机意识,但是太把自己当回事了
    x007007007
        39
    x007007007  
       2015-02-17 12:32:09 +08:00
    @whywhywhy 看了你的观点,实在忍不住了想喷你了

    “做一件事情之前,先考虑下得失,先考虑下前因后果,你总是把自己列为重要人物,国家要追杀你,要监听你……(你有被害妄想症吧)

    你是不是想太多了?就算监听,你又有什么特别的可以监听的?你上个1024网有什么好在意的?你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多,你觉得自己有什么可以被监听的,有什么独特的,事实上你也就一普通人,你有的别人都有,你在做的别人都在做,你所有的缺点,欲望,贪心,恐惧,无安全感,在别人身上也都有。(你在自己眼里很特别,但是在别人眼里,你也只是凡人一个,就算你在某方面很强悍,但是进入到尖端人才的圈子里,你又能位列第几?)

    就算你有三头六臂……那又有什么奇怪的,双头人都出现不止一个了,双性人也证明是存在的(就算你真的很特别,特别的人你也不是第一个存在)”

    1,首先,并不是重要而怕追杀,而是说不要被人监控,控制。因为我们要做自由人,而非奴隶。
    2、无论是否普通人,还是垃圾人,还是牛逼人,但我们都是人,都不希望称被控制,如果我掌握你的一举一动,你会愿意吗。如果我替你作出选择,你愿意吗。难道仅仅应为你在上面乱喷,我就有应该剥夺你的发声权吗。
    3,我只能说,你说的话十分恶毒,毫无人性。
    4, 这些证书确实不值得信任,并不是说们真的会去伪造,当然,他们做中间人攻击也是很容易的,毕竟,网络,还有被签发者的私钥他们都有,所有被他们签发的站点,对于他们来说都是透明的。当然在做中间人攻击的前提下,当然很容易。
    5,为什么不信任这些证书机构呢,应为这些机构和网络提供商主机商,说白了,都是皇上的。如果你要做臣子,当然需要信任皇上,不然就是逆臣贼子吗
    gandamwing
        40
    gandamwing  
       2015-04-09 11:06:38 +08:00
    CNNIC真是打了不少脸呢
    cnyyk
        41
    cnyyk  
       2015-06-05 09:56:23 +08:00
    cnnic还是不要相信好啦。
    所谓礼义廉耻在他们面前一文不值。
    国家利益高于一切嘛。
    nailuoGG
        42
    nailuoGG  
       2016-01-12 17:06:53 +08:00
    看看各位观点有何变化
    macfee
        43
    macfee  
       2016-08-25 17:30:10 +08:00
    我来扒扒坟贴。
    楼主的观点其实表达的是,我不相信政府,就对了。
    chih
        44
    chih  
       2016-08-25 19:12:54 +08:00
    那我也来扒扒坟
    Mozilla 考虑对沃通 CA 采取行动
    http://www.solidot.org/story?sid=49448
    nevercry
        45
    nevercry  
       2016-09-04 20:45:04 +08:00
    第二波打脸……
    dtfm
        46
    dtfm  
       2016-09-04 22:34:50 +08:00
    这……

    shiji
        47
    shiji  
       2016-09-05 08:48:34 +08:00 via Android
    我觉得 CA 公司是躺着都能挣钱的行当 ,不知道大家是否认同
    crystone
        48
    crystone  
       2016-09-08 23:39:21 +08:00
    看坟贴看的好爽
    vonsis
        49
    vonsis  
       2016-09-09 08:30:25 +08:00
    Mozilla 正在考虑如何对屡次违规的沃通 CA 的采取惩罚措施,它在网站上列出了已确认或有嫌疑的与沃通 CA 相关的问题,这些问题不限于之前在安全邮件列表上列出的 3 个问题。它们突出了沃通 CA 在证书管理上的混乱。举例来说,沃通 CA 在 2015 年 4 月 9 日到 4 月 14 日之间签发了 392 个相同序列号的证书; 2015 年 12 月,沃通 CA 使用中国制定 SM2 算法签发了两个证书,违反了 CA/Browser Forum Baseline Requirements 的要求,沃通回应称这些证书是测试用的;秘密收购 StartCom CA 违反了 Mozilla 的 CA 政策。沃通 CA 已经发布了一份英文声明( PDF )回应了 Mozilla 提出的部分问题,称是一个未知的系统漏洞错误签发了 github.com 的证书。
    awguo
        50
    awguo  
       2016-09-09 16:05:54 +08:00
    LZ 好心机啊,故意把那两个帖子 PO 出来钓鱼,╭(╯^╰)╮~~~
    Cu635
        51
    Cu635  
       2016-09-21 01:51:56 +08:00
    lz ,脸疼不?
    Cu635
        52
    Cu635  
       2016-09-21 01:52:57 +08:00
    错了,不是 lz ,是回帖的前几楼……
    alswl
        54
    alswl  
       2016-10-08 11:56:17 +08:00
    Wosgin 被  撤销了「 WoSign CA Free SSL Certificate G2 」,虽然企业不受影响,但是还是很担心。下次续费可能不用 Wosgin 的证书了。
    Explorare
        56
    Explorare  
       2016-10-09 21:56:53 +08:00
    心疼 LZ
    yufengshizhe
        57
    yufengshizhe  
       2016-10-14 14:08:03 +08:00
    @xoxo 都有人引咎辞职了 还能假?
    kittyyc713
        58
    kittyyc713  
       2016-11-02 17:37:17 +08:00
    哈哈 @xoxo 打脸不?
    fallendawn
        59
    fallendawn  
       2017-01-16 12:52:38 +08:00
    @Quaintjade 已添加特别关注 你把那个 why 都喷的不敢登陆了 哈哈 我觉得那个 xoxo 跟 why 一样 都只不过是 5 毛而已 why 竟然还说了一句 “既然我是无辜的,既然不针对我,我也是守法公民,我担心个毛线?被监听一下劫持一下又有什么关系?” 我真想把这家伙塞进麻袋丢进 ted 现场 https://www.ted.com/talks/glenn_greenwald_why_privacy_matters 哈哈哈哈哈
    maristie
        60
    maristie  
       2018-10-31 23:07:00 +08:00
    时隔 4 年,来给上面被打脸的上炷香
    franc3567
        61
    franc3567  
       2020-03-27 18:06:49 +08:00
    上香
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2889 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 106ms · UTC 07:35 · PVG 15:35 · LAX 23:35 · JFK 02:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.