V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
caizixian
V2EX  ›  程序员

为什么 SSL 证书会被 Windows 自动添加

  •  
  •   caizixian ·
    caizixian · 2014-06-25 12:20:43 +08:00 · 3502 次点击
    这是一个创建于 3839 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这个描述貌似有些不清楚
    就是昨天我提到的WoSign问题 /t/119312
    证书部署什么的都是在Ubuntu开发机上弄的
    我拿了台Win7机子试了下
    我确认我的Windows系统没有Class 1 Primary CA
    当我尝试访问我自己放置上WoSign证书的站点时,Chrome的锁是绿的,再打开certmgr,就出现了Class 1 Primary CA
    @xoxo @ehs2013 有解释 但我不是十分明白 大家能不能解释一下这是怎么出现的 该如何解决
    这是不是也意味着,以后出现新的国内CA后,访问一次有该证书的网站,证书就会被自动添加到机子里,这不是太坑了
    14 条回复    2014-06-26 10:07:35 +08:00
    oott123
        1
    oott123  
       2014-06-25 12:24:48 +08:00 via Android
    为什么不信任国内 CA 呢…
    这些 CA 也是靠 VeriSign 之类的 CA 签信任链的吧…
    那是不是相当于 VeriSign 签的你也不相信了呢…
    又不是铁道那种自签名的 CA …
    jerryjhou
        2
    jerryjhou  
       2014-06-25 12:32:51 +08:00
    @oott123 (他们)主要是不信任Gov,(他们认为)天朝Gov有能力强迫任何国内CA签发用于中间人攻击的证书
    oott123
        3
    oott123  
       2014-06-25 12:34:56 +08:00 via Android
    @jerryjhou 那样这家 CA 不就完蛋了么…
    签也完蛋,不签也完蛋╮(╯▽╰)╭
    jerryjhou
        4
    jerryjhou  
       2014-06-25 12:37:29 +08:00   ❤️ 1
    把WoSign放进不信任证书列表,不然会根据StartCom(就是StartSSL)的根证书信任自动信任

    @oott123 他们的证书签发对象居然包括 “内容审查机构”
    billlee
        5
    billlee  
       2014-06-25 13:02:42 +08:00
    因为这是一个 suboridinate CA, 上面有被信任的 root CA 的签名,所以被信任了。
    Suboridinate CA 的安全性是近两年来才引起关注的,在 2011 年发生了 Entrust, Inc. 的一个 subridinate CA 签发了弱密钥证书的事件。
    https://blog.mozilla.org/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/

    现在 Mozilla 的政策是要求 suboridinate CA 的 policy 必须符合 super CA 的 policy. Super CA 要每月对自己的 suboridinate CA 做审计,并且不允许 suboridinate CA 再给第三方 suboridinate CA 签名。
    caizixian
        6
    caizixian  
    OP
       2014-06-25 13:28:58 +08:00
    @jerryjhou
    @billlee
    正解 问题是在certmgr中根本看不到wosign 只有我昨天在/t/119312 贴出来的 Class 1 Primary CA
    billlee
        7
    billlee  
       2014-06-25 13:34:13 +08:00
    @caizixian certmgr 好像不会保存 intermidate CA, 可以用 Firefox 打开用了这信任链的网站,然后就可以在 Firefox 的证书管理器里面把 intermidate CA 导出来。
    caizixian
        8
    caizixian  
    OP
       2014-06-25 14:06:39 +08:00
    @billlee 我昨天打开网站后certmgr才出现的 说明会保存新的intermidate CA /t/119312 中的cer就是从certmgr导出来的
    devz1984
        9
    devz1984  
       2014-06-25 14:38:26 +08:00
    太洁癖了。

    国内的CA不信任的话, 以后是不是每个网站的认证都要打开看看。
    ehs2013
        10
    ehs2013  
       2014-06-25 17:16:59 +08:00
    Verisign 中国的证书也不要新人就好了
    嗯,就是那个 Verisign Class 3 CA
    woyao
        11
    woyao  
       2014-06-25 17:46:06 +08:00
    wosign被windows内置了,在xp最后一次补丁的时候。
    billlee
        12
    billlee  
       2014-06-25 17:59:07 +08:00
    @woyao 你确定?内置证书是要通过 WebTrust 审计的啊
    wy315700
        13
    wy315700  
       2014-06-25 18:01:10 +08:00
    我想知道LZ有什么需求要对SSL证书那么关注。
    woyao
        14
    woyao  
       2014-06-26 10:07:35 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2472 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:37 · PVG 23:37 · LAX 07:37 · JFK 10:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.