要删除 Wosign 沃通的 SSL 证书吗？最近 SSL 伪造的事件不少

关于你最后的问题，V2EX 的规则是，有人回复的主题就不能被删除。

一句话：我还没见过像印度一样利用验证过根证书的证书来进行 MITM 的事件。所以无论是 CNNIC 和 WoSign 还是 12306 及各类网银证书，都信任

CNNIC到目前为止还没做什么出格的事。

@Livid 但是楼主又是可是删掉回复的是吧.

@ChanneW 回复和主题只有管理员可以删除。

没懂什么意思。wosign是商业公司，颁发假证书这种事应该不至于吧，他还要吃饭。

WoSign 应该要定期接受 StartSSL 审计，问题不大。最怕的是 CNNIC 这种 Root CA，还有 Sinorail Certification Authority 这种自己安装的 CA。

不能理解安装12306证书的行为，一年买不了几次票，买票的时候点一下继续访问不就可以了吗？

这个问题讨论过多次了，受信任的证书机构，是受监督的，只要谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了，以前有信任的证书颁发机构被黑的情况，结果就是大家都不敢信任他了，后果很严重！

@YonionY 5块钱ssl证书都买不起，你要淡定

@whywhywhy 随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。

比如它签发一个SHA-1签名的证书用于MITM，你截取了这张证书说是它伪造的，它反咬你一口说你背后有XX提供技术资金支持，花点钱破解伪造证书来构陷它。
在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。

@Quaintjade 我对这个还真心不怎么在意，反正chrome和ie和ff能自动更新，银行自己也会注意，到不安全的时候自然就会采取措施了，比起这个，我更在意我肚子上的赘肉。

楼主多虑了。

向楼主问几个问题：
1. CNNIC SSL不可信，你有伪造的证书的证据吗？
2. WoSign SSL不可信，你有伪造的证书的证据吗？

这是一个法制社会，谁主张谁举证，你拿不出证据，你的主张就不成立。




另外，从国际标准来说，
CNNIC SSL ROOT 和WoSign 1999 两个根证书，每年均需经过WebTrust审计，对系统安全性、PKI可靠性等多项指标进行评级。
如果有任何一家通过WebTrust审计的CA欲级任何攻击用户安全、威胁SSL信任体系的组织个人提供方便，WebTrust会立即进行事件评估，紧急通知各大操作系统（Microsoft、Apple、Linux Branches...）和各大浏览器厂商发布强制补丁，取消能做恶CA的信任。
历史上存在过一次相应的事件，荷兰的DigiNotar被伊朗黑客攻击，颁发国几个Yahoo.com子站和Google.com子站的伪造证书，被用户举报后纷纷被各大浏览终端、系统厂商和谐掉，然后这家公司就破产了。


如果CNNIC SSL胆敢做出类似行动，不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！

退一步讲，WoSign虽然是一家商业公司，没有政府职能，但一旦被发现有欺诈的痕迹，迅速这家公司也会破产，其累计数据的信任资源和品牌投入毁于一旦，得不偿失！


综上，楼主多虑了。




________________________________________
xoxo 原创,
未经授权，禁止转载.

@whywhywhy 这里指的显然不是银行。


@xoxo
“不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！”

TSSN...
美国以色列搞伊朗时就造过假证书，然后呢？

假证书搞垮一家证书商还有可能，影响经济坏境什么的是想多了。
而且如我在11楼所说，接下去两三年，就算你抓住了那张证书，都难以完全证明那是证书商签发的。

总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。

@Quaintjade 这么说吧，你删不删都没意义，为什么没意义？命令qq公司给你下载个临时的证书机构在你电脑上，命令360公司下载个证书机构在你电脑。命令你电脑所有国产软件公司导个证书轻而易举。完事后还能自动删除。不留痕迹。

你电脑一般来说还会装有银行的，支付宝的认证机构。反正信任的机构不是一个两个，你自己可以去翻

你删，你尽情的删。

我为什么我说轻而易举？因为什么事情都得看是站在什么角度去处理，从国家的角度去考虑得失，企业又如何能不配合？
换句话说，给你1亿让你离婚你离不离？这是答应的结果，不答应的结果，呵呵，呵呵，很多事情不是道理、正义、和谐就能赢的。讲道理有用，那还训练什么军队，搞什么核弹？全世界几百个国家讲讲道理，世界和平就到来了！？

企业一配合那还了得！导个证书几行代码就搞定的事情。

不答应？谷歌还能退出中国，你叫腾讯叫360给我退出中国看看？

你们只考虑到一个信任机构被装在电脑了，你可想过没有那些装在你电脑上的软件，给你装个证书进去是何其容易？

非要这样去恶劣的想，你还真的太低估了，任何人都是没办法和国家为敌的，你想到的永远是片面的。

或许你可以不用这些软件，但是你永远无法阻止所有人不用……就算你不用这些，也保证不了任何软件都不存在后门，因为后门真的很容易……也就是几行代码的事情。

总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。

@whywhywhy
你又想当然了。
实际上我删过，然后发现国内这些证书删掉后对网银、支付宝一点影响都没。
明白了吧？因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书（忘了哪个域名），用自签证书只是因为把真证书部署在人家CDN上有风险。

完事后自动删除，说得好像轻轻松松，但加证书就是为了常驻一段时间（否则既然能塞根证书，什么权限不能有？），这段时间内就有机会被抓。

然后你后面的那一大堆完全是在无限扩大概念，却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性，反观你举的那些例子全都只是在极端情况下有可能。

找到了，12306由Verisign签发的证书： https://epay.12306.cn/
用自签证书的另一点理由是，有些证书（尤其像verisign之类的OV以上级别）会限定IP数量，添加IP要加钱，这样CDN就太费钱了。

@Quaintjade 你就是想说，我家里的门上有一把锁，为了防止万能钥匙开启，干脆就把钥匙孔封住了，于是你认为安全了，但是强盗要进你家门，直接拿炮轰开就好了，会和你拿钥匙吗？（删除国内证书机构，自认为安全）

平白无故的谁又来拿炮哄你家门？花这么大成本对付你有什么好处？（花大成本去伪造，你值得谁去这么做？）

做一件事情之前，先考虑下得失，先考虑下前因后果，你总是把自己列为重要人物，国家要追杀你，要监听你……（你有被害妄想症吧）

你是不是想太多了？就算监听，你又有什么特别的可以监听的？你上个1024网有什么好在意的？你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多，你觉得自己有什么可以被监听的，有什么独特的，事实上你也就一普通人，你有的别人都有，你在做的别人都在做，你所有的缺点，欲望，贪心，恐惧，无安全感，在别人身上也都有。（你在自己眼里很特别，但是在别人眼里，你也只是凡人一个，就算你在某方面很强悍，但是进入到尖端人才的圈子里，你又能位列第几？）

就算你有三头六臂……那又有什么奇怪的，双头人都出现不止一个了，双性人也证明是存在的（就算你真的很特别，特别的人你也不是第一个存在）

@whywhywhy
你到底有没有看清我在谈论什么？
我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！

我在说的是，CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生，这就是我在说的。我提到的几十万美元是反咬时可用的借口，实际上根本没人付出这笔钱，懂不？

你说的一切都是建立在伪造成本过高、得不偿失的基础上的。但如果成本几乎为零，而且是非针对性的大范围覆盖，那就有可能发生——参考某墙。
别以为你要有多特殊才有人监控你。没人有意要监控你，只是顺便把普通的你覆盖了而已。

@Quaintjade
"我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！"

"CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生"

"但如果成本几乎为零，而且是非针对性的大范围覆盖"

"没人有意要监控你，只是顺便把普通的你覆盖了而已"



从你的文字里我明白了这几件事情，没有人在意我，我只是被无辜的覆盖，这样的操作0成本。



****既然我是无辜的，既然不针对我，我也是守法公民，我担心个毛线？被监听一下劫持一下又有什么关系？****


另外"CA可以零直接成本地签发假证书“，风险也是成本的一种好吗？我从楼上丢个石头下去，砸死人也是零成本的，但是风险呢？风险难道就不是成本的一种？吊销资格的结果是什么你懂我懂大家都懂。

全世界那么多国家有CA证书颁发的机构，谁都有可能伪造，那何必搞什么信任列表？你直接让大家清空就好了。（任何一家都无法完全避免人为造成伪造证书的事情）

@Quaintjade 你总是在说可能，可能伪造，可能做这样的事情。

你始终不去想一个问题，为什么要去做这样一件事情，做这样事情的原因是什么，成本是什么（风险也是成本的一种），结果是什么。

所谓的结果就是你受到什么影响了？监听？隐私？你上qq上面就有你全部的聊天记录，随时可查，那是不是大家都不要用qq了？但是只要不违法，监听一下，可查又如何。

而且这样大大的保护了我们的安全（别人去查肯定是查坏人），你总是去想着负面的事情，能想得好一些吗？能不能不要总是瞎想那些有的没的

如果都涉及到国家级别了，那说明事态严重，那么严重的事情你参合个什么劲，你这是在为坏人提供方便。对你又有什么好处？

既然没有好处，又不关你的事情，又是国家大事，你确定要参与进去吗？

@whywhywhy
你果然开始转移话题、撤退到第二条防线了，从讨论CA是否会伪造证书这个话题移开，退而辩论即使监视也没什么大不了的。

针对你试图移开的那个话题：

风险是一种成本没错，但之前你认为CA资格被吊销几乎是100%，而我告诉你这种概率并不高，而且接下去几年随着SHA-1变脆弱而会越来越低。这样一来，成本就可以低于收益，CA自发或受迫签发伪证书就有可能，而且越来越高，直到系统和浏览器彻底拒绝SHA-1。自己同时承担收益和成本的商业公司，这种可能性依然很低；成本（风险）由公司承担，收益由其他组织承担，并通过“不配合时的负收益”这层联系来强迫，可能性就大得多；如果成本收益都由非商业的组织承担，且这个组织有足够的理由反咬别人碰撞Hash，那可能性就更大。

我一直在强调这种可能性的现实合理性，你却一味地举极端情况的例子（任何XX都不能XXX，所以XXX），这对辩论毫无帮助。


针对你撤退到的新防线：

第一，“别人去查肯定是查坏人”这是多天真的想法啊。去查的是认为需要查的人，主要是与自己意见不一致的人，坏人自然包括其中，但比坏人的包含范围大得多。当然，如果你把所有被查的都定义为坏人那就没啥好说的了。

第二，ZF插手的事一定是国家级别的事？你又在错误扩大概念了。一系列人或事叠加在一起是重大的，重大到ZF有理由签发假证书，但其中的涉及的人或事未必是重大的，甚至其中大多数的人可能是渺小的，渺小到普通人有意无意就牵涉其中。由于ZF并不会明确说明界线在哪里（一贯如此），所以有意无意牵涉到是很可能的。

第三，可查又如何。是的，我并不担心ZF查我各种资料，也不担心企鹅能查我所有的聊天记录，因为查的人与接触到的数据都可预见。但如果证书被伪造，那么数据与接触数据的人的可预见性就大大降低。例如ZF把破解的证书架设在第三方（很可能是个半官半商机构）服务器上，那么这个第三方就能趁机获取它本应无法接触的数据。
别总是摆出一副隐私算个屁的样子，这像说反正内裤被看过了，干脆裸奔吧。企鹅能看QQ聊天记录无所谓，企鹅能看你档案你愿意吗？

@Quaintjade 一个（次）你可以说是意外，两个（次）你可以说是临时工，三个（次），五个（次）……的时候你还能说这是意外，这是碰撞，这样还不被吊销资格我就服了你。

就像上面说的，这是一个法制社会，你这样毫无证据混淆视听，甚至预判ZF会怎样做，预判信任体系的管理者不作为。前者有前科你可以不信任（事实上哪国没有黑幕呢，没有黑暗面呢？），事实上我也不信任，但是有一个管理这个信任体系的机构存在，我觉得比你在这不断的争辩要靠谱得多。

说句不厚道的话，你觉得cnnic不靠谱，你要删证书，你为什么不去向管理这个体系的机构投诉，抗议，申诉？为何不走正规合法途径去解决此问题呢？比起你在这里疯狂的争辩，我觉得那样有效得多。

@whywhywhy 于是你又把论点退缩到了 一次有可能、多次不可能，事实上我想说的就是一次有可能。一次就够本了。

事实上我自始自终都没有提出过是否应该删除CNNIC或沃通，最初我回这个帖子只是针对你说的“谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了”，你说我要删证书又是由何而来？

只能说你从头到尾都没有看懂我到底在讨论什么，就在这里疯狂的争辩。

@Quaintjade
既然你要从头到尾我引用你@我的话：
1.随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。

（这是你第一次在这个帖子@我的第一句话）
仔细看看你最后的那句话”被抓也未必能打死“，你这句话是肯定呢？还是否定呢?还是不太确定呢？如果你自己都不确定，那你@我是何意？告诉我你也不确定？你自己都不确定，你还来@我，是何意？想搞得我也不确定？
你真的很无聊。不确定就不要说嘛，没有证据就乱说是不对的。而且你自己也不确定，那就更不能乱说了。
从头到尾你就不确定，你还争什么？


2.在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。

50k美金也就是30w人民币，30w人民币的成本如果走合法途径，那么一定会留下蛛丝马迹，走洗钱的途径，洗钱本身就违法。要证明自己是清白的，并不难。什么！你说的是ZF要伪造个证书来劫持你？那还是别挣扎了，兄弟我已经说到了，和ZF作对是没有好处的，搞不过的。

3.美国以色列搞伊朗时就造过假证书，然后呢？

假证书分两种，一种是没有受信任证书机构颁发的，这种证书谁都可以造，无意义。第二种是是有证书机构颁发的，那么问题是，是哪个机构颁发的呢？请列举出来。

4.你果然开始转移话题、撤退到第二条防线了，从讨论CA是否会伪造证书这个话题移开，退而辩论即使监视也没什么大不了的。

CA也好，其他任何人和组织也好，要伪造一个证书，起码要有一个动机，动机又因为结果而决定可以付出的成本，伪造证书的成本就是风险，被吊销信任列表的风险，甚至被列为所有人都不信任的风险。这就是不作恶的保障，这就保障了对方不能作恶，作恶被抓到证据就会吊销资格，会被大家不信任。
换句话说，任何一个信任列表中的机构都是有可能伪造证书的，因为最不安全的就是人类，只要有人参与过程（没有人参与，机器也无法自动化），那就没有绝对的安全。所以我在反复提到一个东西，成本和风险还有动机。

5.于是你又把论点退缩到了 一次有可能、多次不可能，事实上我想说的就是一次有可能。一次就够本了。

谢谢你的配合，你这句”事实上我想说的就是一次有可能。一次就够本了。“说的太棒了。因为这句话所透露的内容就是，即便成本再大（被扔进不信任列表），一次也值得。
既然只能一次也值得，那么世界上任何一家机构都无法避免，因为”只做一次“这样的情况是无法预防的，所以给你的忠告就是，清空你的证书颁发机构的信任列表。因为随时都有可能被”只做一次“给碰上。
既然愿意花这样的代价去劫持谁，说明那个被劫持的人的电脑（或许还有一些无辜者）很重要，竟然要用掉这”一次就够本了“的机会。那么这么重要的一个事情，还不能称之为大事？这样的机会还不是用在坏人身上？你玩我呢？
既然是大事，那肯定跟我没关系，我没那么重要，就算被小范围的劫持到了，那又如何，我又不犯法，而且仅仅是一次而已，我还是可以接受的，明白？这样的几率小到比彩票还低，那我还不如直接去买彩票呢，说不定还能中五百万。

所以综上所述，你知道你在说什么了吗？你知道我在说什么了吗？你现在为什么明白为什么我说你有被害妄想症了吗？真心不知道你在和我争什么。

@Quaintjade 证书里不含IP，哪儿来的加IP多收钱？

@whywhywhy
1. 你说得很肯定，我说不一定，而且不是钻牛角尖极端情况的不一定，为什么不能争了？

2. 你到现在都还没看懂我说的是什么。都说了，实际根本没人支付这笔钱，反咬的借口而已。

3. Microsoft Enforced Licensing Intermediate PCA certificate authority
http://en.wikipedia.org/wiki/Flame_%28malware%29

4. 成本风险动机我都讨论过了，你始终无视，只会用“任何XXX都不能XXX”来回复。

5. 成本=被撤销的代价*被撤销的概率，你始终在盲目夸大成本。然后还无视（或者理解不了）我说的非重大价值可以累积成重大价值这一点。

你自始自终都沉浸在自己的妄想中，无视和扭曲别人的观点和论证。

@julyclyde 说错了。不是IP，是number of servers

技术上无法限制，但为了多赚钱，有CA会从条款上限制server license的数量（实际如何限制就不清楚了）。

https://www.gogetssl.com/extended-validation/symantec-securesite-pro-ev-ssl/
http://security.stackexchange.com/questions/54442/how-can-ssl-vendors-limit-the-amount-of-servers-they-can-be-installed-on

@Quaintjade 已block，原因如下

1.你自己都不确定的观点，还指望让别人理解你，让别人懂你，让别人承认你这个自己不确定的观点，无论你再解释多少次都毫无意义。

后面的不回答了。一直在主观的“预测”别人还未做出(从未做出)的违规行为，主观的预测那个时候没有有效的手段来阻止。这样的预测我认为是恶意的，在事情没有发生之前（时间未到来之前），做出这样的预测是不负责任的。

观点自己不确定，一切又建立在预测之上，还是负面的预测，这样的恶意的预测将对他人产生误导。多年以前月光博客也做出过类似的预测（CNNIC进入信任列表），结果事实呢？事实就是几年过去了，谁也没有抓到过它伪造的任何一张证书的证据。然后这个事情就淡出了大家的视线。现在我不想再被这样负面的猜测来误导了。

@whywhywhy 已block。

本来就是为了指出你错误的观点，你却一而再再而三无视、扭曲我的观点和论据。
就像你这贴又提出一个扭曲的观点，说我是在预测。事实上我并未作出预测，又是你脑补的产物。

你一直在用稻草人论证来无理取闹罢了。

@Quaintjade 真是搞笑。我已经说得很清楚了，信任列表中的证书颁发机构是有专门的组织来管理和监督的。谁作恶就吊销谁。你非要说hash碰撞已经成为可能，甚至成本保守估计50k内，甚至有人举报都可以申述为是恶意碰撞（恶意碰撞出证书，以此对颁发证书机构进行举报），还提出作恶0成本（自己可以随意签证书，作恶无难度）。后面我提出这样的作恶（伪造证书）是风险很大的，被抓的必然性就是不再受信任。而你提出的是什么？你提出只作恶一次就够本了。那就是说抓到也无所谓了？

也不知道是谁在胡搅蛮缠，明明是自己缺乏安全感不信任这个信任体系，既然如此，那你清空信任列表就好了。使劲在这误导人，你如何博取他人的信任

@whywhywhy 哈，你继续胡搅蛮缠好了。
作恶一次就够本的意思是被抓到也无所谓？脑洞真大。我只是在说没必要再做第二次而已，所以你说的必然不再受信任就是错的，因为你是基于会伪造很多次的基础上。

你下一段又是打稻草人和列极端情况，除了这你还会啥？

@Quaintjade 真心笑了，你是赖上我了吗？故意说block你了，你还真上当，接着就说block我了，接着我回复你，结果你block了还跑来回复，太搞笑了。还说我胡搅蛮缠，是你自己才对吧。

别跟我学了，谢谢，不回了，你爱怎么折腾怎么折腾。

@whywhywhy 呵呵，早就知道你不会block，随便钓一下果然就把你钓出来，还死要面子装成故意，真是逗。
胡搅蛮缠的你自动滚粗吧，不过看你嘴上说着不回，待会儿大概又屁颠屁颠跑来回复了。

@xoxo 你真算得上SSL 证书专家，说得很在理。微软认可的CA机构如果出现发错、伪造证书的情况，一夜之间会破产，所有的努力就白费了…… 沃通 会这样自取灭亡吗？所以说 沃通 WoSign SSL 全球标准，值得信赖！ 你值得拥有

@whywhywhy 作为一个程序猿,我深受GFW的困扰,但是站在国家层面讲,如果我是当权者,我会做的更绝,
毕竟中国民智未开,很容易受到反动势力的煽动.
在ssl这件事上,我也觉得没必要,退一万步讲,直接让微软在简体中文版系统里面内置后门,否则滚出中国,
谷歌说过不作恶,但是微软可没有说过.
郭嘉要搞人还是很简单的,只不过几个屁民成不了什么事.

综上所述,ssl除了自签证书绝对不信任意外,其他的受信任根我也认为没有必要删除,蓝色圆球头像的那位很有危机意识,但是太把自己当回事了

@whywhywhy 看了你的观点，实在忍不住了想喷你了

“做一件事情之前，先考虑下得失，先考虑下前因后果，你总是把自己列为重要人物，国家要追杀你，要监听你……（你有被害妄想症吧）

你是不是想太多了？就算监听，你又有什么特别的可以监听的？你上个1024网有什么好在意的？你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多，你觉得自己有什么可以被监听的，有什么独特的，事实上你也就一普通人，你有的别人都有，你在做的别人都在做，你所有的缺点，欲望，贪心，恐惧，无安全感，在别人身上也都有。（你在自己眼里很特别，但是在别人眼里，你也只是凡人一个，就算你在某方面很强悍，但是进入到尖端人才的圈子里，你又能位列第几？）

就算你有三头六臂……那又有什么奇怪的，双头人都出现不止一个了，双性人也证明是存在的（就算你真的很特别，特别的人你也不是第一个存在）”

1，首先，并不是重要而怕追杀，而是说不要被人监控，控制。因为我们要做自由人，而非奴隶。
2、无论是否普通人，还是垃圾人，还是牛逼人，但我们都是人，都不希望称被控制，如果我掌握你的一举一动，你会愿意吗。如果我替你作出选择，你愿意吗。难道仅仅应为你在上面乱喷，我就有应该剥夺你的发声权吗。
3，我只能说，你说的话十分恶毒，毫无人性。
4， 这些证书确实不值得信任，并不是说们真的会去伪造，当然，他们做中间人攻击也是很容易的，毕竟，网络，还有被签发者的私钥他们都有，所有被他们签发的站点，对于他们来说都是透明的。当然在做中间人攻击的前提下，当然很容易。
5，为什么不信任这些证书机构呢，应为这些机构和网络提供商主机商，说白了，都是皇上的。如果你要做臣子，当然需要信任皇上，不然就是逆臣贼子吗

CNNIC真是打了不少脸呢

cnnic还是不要相信好啦。
所谓礼义廉耻在他们面前一文不值。
国家利益高于一切嘛。

看看各位观点有何变化

我来扒扒坟贴。
楼主的观点其实表达的是，我不相信政府，就对了。

那我也来扒扒坟
Mozilla 考虑对沃通 CA 采取行动
http://www.solidot.org/story?sid=49448

第二波打脸……

这……

我觉得 CA 公司是躺着都能挣钱的行当 ,不知道大家是否认同

看坟贴看的好爽

Mozilla 正在考虑如何对屡次违规的沃通 CA 的采取惩罚措施，它在网站上列出了已确认或有嫌疑的与沃通 CA 相关的问题，这些问题不限于之前在安全邮件列表上列出的 3 个问题。它们突出了沃通 CA 在证书管理上的混乱。举例来说，沃通 CA 在 2015 年 4 月 9 日到 4 月 14 日之间签发了 392 个相同序列号的证书； 2015 年 12 月，沃通 CA 使用中国制定 SM2 算法签发了两个证书，违反了 CA/Browser Forum Baseline Requirements 的要求，沃通回应称这些证书是测试用的；秘密收购 StartCom CA 违反了 Mozilla 的 CA 政策。沃通 CA 已经发布了一份英文声明（ PDF ）回应了 Mozilla 提出的部分问题，称是一个未知的系统漏洞错误签发了 github.com 的证书。

LZ 好心机啊，故意把那两个帖子 PO 出来钓鱼，╭(╯^╰)╮~~~

lz ，脸疼不？

错了，不是 lz ，是回帖的前几楼……

Wosgin 被  撤销了「 WoSign CA Free SSL Certificate G2 」，虽然企业不受影响，但是还是很担心。下次续费可能不用 Wosgin 的证书了。

心疼 LZ

@xoxo 都有人引咎辞职了 还能假？

哈哈 @xoxo 打脸不？

@Quaintjade 已添加特别关注 你把那个 why 都喷的不敢登陆了 哈哈 我觉得那个 xoxo 跟 why 一样 都只不过是 5 毛而已 why 竟然还说了一句 “既然我是无辜的，既然不针对我，我也是守法公民，我担心个毛线？被监听一下劫持一下又有什么关系？” 我真想把这家伙塞进麻袋丢进 ted 现场 https://www.ted.com/talks/glenn_greenwald_why_privacy_matters 哈哈哈哈哈

时隔 4 年，来给上面被打脸的上炷香

上香