V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nvidiaAMD980X
V2EX  ›  SSL

沃通根证书出了个大新闻!

  •  
  •   nvidiaAMD980X · 2016-08-25 19:36:00 +08:00 via Android · 9422 次点击
    这是一个创建于 3048 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据外媒报道
    Mozilla 可能采取的行动包括吊销沃通 CA 证书。沃通 CA 是中国最大的 SSL 证书发行商之一,它声称中国市场每 3 张 SSL 证书中就有 1 张由沃通 CA 签发,如果吊销沃通 CA 证书,可能将会影响很多中国网站

    …………………………………………………………………………………………………………
    各位怎么看??
    另外,好像 AddTrust External CA Root 也和沃通 CA 有关联,它是神马背景的,需要加入不信任列表吗?
    18 条回复    2016-12-14 10:28:43 +08:00
    namebus
        1
    namebus  
       2016-08-25 22:21:00 +08:00
    感觉他们这是作死的节奏, AddTrust External CA Root 是 Comodo 的 Root ,之前给他们发过交叉,现在 Startcom 和 WoSign 是一家的,都属于 360 旗下控制的两家 CA ,所以性质是完全不一样的。

    http://www.cnbeta.com/articles/533005.htm
    1 、 2015 年 4 月 23 日左右,沃通 CA 允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;
    2 、 2015 年 6 月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名( Base Domain )的证书,如证明控制了 theiraccount.github.com/theiraccount.github.io 等子域名得到了 github.comgithub.iowww.github.io 的证书;
    3 、 2016 年 7 月,与沃通 CA 有关联的 StartCom CA 被发现允许证书倒填日期,倒填日期能绕过浏览器对 SHA-1 算法的限制。
    namebus
        2
    namebus  
       2016-08-25 22:31:20 +08:00   ❤️ 1
    刚刚看了, Comodo 给 WoSign 交叉的是 UTN - DATACorp SGC 这个 Root ,但这个 Root 在 Windows 下已经不可信, AddTrust External CA Root 没有给 WoSign 签发过交叉
    Sunyanzi
        3
    Sunyanzi  
       2016-08-25 22:58:29 +08:00
    沃通的 CA 不是一直都不可信 ..? 现在沃通签出来的免费 SSL 是 StartCom 的 CA ...
    namebus
        4
    namebus  
       2016-08-25 23:24:49 +08:00
    @Sunyanzi 在 Windows 和 Firefox 下已经是可信的了,但在 iOS 和 macOS 下都是不可信,所以使用 StartCom Root 做交叉。
    nvidiaAMD980X
        5
    nvidiaAMD980X  
    OP
       2016-08-26 18:39:55 +08:00 via Android
    @Sunyanzi
    @namebus 还有 Android6.0 的 CA 证书列表中是默认信任沃通 SSL 的,必须手动拉黑…………不知道 Android7.0 是否发生变化?
    nvidiaAMD980X
        6
    nvidiaAMD980X  
    OP
       2016-08-26 19:35:17 +08:00 via Android
    @namebus UTN - DATACorp SGC 不是 US 的 CA 机构颁发的吗?它什么时候给 Wosign 交叉授权的?
    nvidiaAMD980X
        7
    nvidiaAMD980X  
    OP
       2016-08-26 19:45:31 +08:00 via Android
    @namebus 不对啊,根据这篇文章, AddTrust External CA Root 给 Wosign 交叉授权过。
    https://github.com/JayXon/AntiChinaCerts/blob/master/README.md
    namebus
        8
    namebus  
       2016-08-26 23:58:37 +08:00   ❤️ 1
    @nvidiaAMD980X 就你发的这个 Github 里的链接可以看出,给 Certification Authority of WoSign 签交叉的是 UTN - DATACorp SGC 签发, WoSign 和 WoTrust 几个中级证书是由 UTN-USERFirst-Hardware 所签发, AddTrust External CA Root 有给 UTN-USERFirst-Hardware 签了交叉,所以 WoSign 和 AddTrust External CA Root 是间接关系,没有直接关系。
    而直接给 Certification Authority of WoSign 签交叉的 UTN - DATACorp SGC 因为没能过审核,现在已经作废了,在 Windows 和 Firefox 下已经不可信,但 macOS 下目前还没有移除,应该在下一个版本中会移除这个 Root 。

    以下几个 Root 均属于 Comodo 公司
    UTN-USERFirst-Hardware
    UTN - DATACorp SGC (已作废)
    AddTrust External CA Root
    nvidiaAMD980X
        9
    nvidiaAMD980X  
    OP
       2016-08-27 00:45:52 +08:00 via Android
    @namebus 刚才看了看我的 Nexus6 , UTN - DATACorp SGC 也是默认信任………看来得晚上起床,拉黑 macOS 和 Nexus 平板的相关 CA 了…………
    namebus
        10
    namebus  
       2016-08-27 15:45:44 +08:00   ❤️ 1
    VmuTargh
        11
    VmuTargh  
       2016-08-28 16:56:12 +08:00 via Android
    不得不说一句 wosign 的广告很恶心
    VmuTargh
        12
    VmuTargh  
       2016-09-02 21:57:21 +08:00 via Android
    哦 现在真出事了 连着 startcom 的一起干掉吧
    sojingle
        13
    sojingle  
       2016-09-03 00:40:22 +08:00
    好吧...干掉 StartCom ...
    redsonic
        14
    redsonic  
       2016-09-03 09:59:53 +08:00   ❤️ 1
    为什么主流的操作系统不提供一个简便的 CA 开关,让用户选择信任哪些 CA ,就像 IOS 越狱后那个插件。现在都是靠一些插件, msc , linux 甚至要重新编译代码才行。而且巨硬会后台更新证书(不是 windows update ),这样 CA 证书的增删改更不透明。
    nvidiaAMD980X
        15
    nvidiaAMD980X  
    OP
       2016-09-03 14:38:38 +08:00 via Android
    @redsonic Android6.0 做得不错,可以手动拉黑不信任的 CA 证书, macOS 的证书列表也可以手动拉黑自己不信任的 CA 证书,但是 iOS 就缺乏这种手段了, iOS9 的 UCA Root 和 UCA Global Root 就是两大毒瘤,不知道 iOS10 是否已经移除这些 CA ………… Windows 连 CA 列表都不给,还必须自己导入后拉黑……………
    wql
        16
    wql  
       2016-09-03 23:31:53 +08:00 via Android
    深挖了一下沃通。
    以下信息均基于工商登记信息和已经公开的可信信息。
    沃通:王高华,张千夫和三家奇虎三六〇全资子公司(占大头)合资建立。
    世达康(深圳):以色列 startcom 全资成立于前海的马甲
    startcom:据称已经被王高华控制
    真是
    qiezifxj
        17
    qiezifxj  
       2016-10-09 13:01:42 +08:00
    欢迎使用腾讯云免费证书, 跟 V2EX 一样的 TrustAsia DV SSL CA - G5. link: https://console.qcloud.com/ssl
    不过不支持 *.v2ex.com 这种泛域名。
    zhangneww
        18
    zhangneww  
       2016-12-14 10:28:43 +08:00
    @qiezifxj 貌似和七牛的免费证书是一样的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2360 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:48 · PVG 23:48 · LAX 07:48 · JFK 10:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.