V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Explorare
V2EX  ›  SSL

关于 Mozilla 的国际影响力

  •  
  •   Explorare · 2016-10-09 22:27:20 +08:00 · 3767 次点击
    这是一个创建于 2972 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Mozilla 最终给了 WoSign 一个 Bad End ,这个诸位应该都比我知道的清楚。我就比较好奇 Mozilla 做出的这个决定究竟会对业界产生怎样的影响呢,他旗下产品会吊销 WoSign 证书,比如 Firefox 和 Thunderbird ,然而主流还是 Chromium 内核的浏览器。或者说在 Mozilla 做出这个决定后,会推动其合作伙伴陆续加入这个行动?诸位怎么看呢? ps.请不要讨论关于隐私价值、监听成本等话题,是否信任某个证书是个人自由,吊销某些证书是否能维护通信安全和言论自由每个人心里都有数,请开新帖讨论。

    第 1 条附言  ·  2016-10-09 23:00:19 +08:00
    附上一个值得看的讨论 https://news.ycombinator.com/item?id=12582534
    26 条回复    2016-11-13 21:59:08 +08:00
    wayslog
        1
    wayslog  
       2016-10-09 22:40:14 +08:00 via Android
    这事儿不是 Mozilla 的影响力问题,事实上 Mozilla 也没义务和行动去向其他人推广什么。只需要把事实摆开,证据拿出来,不用它推动,自然有责任心的厂商组织会去吊销 WoSign 的。毕竟信任才是这一套证书系统的基石。就好比你有一天发现了某个人在向别人贩卖你在他那寄存的身份信息,你把这事儿披露出来,自然不会再有人去他那存身份信息。
    pmpio
        2
    pmpio  
       2016-10-09 22:50:49 +08:00
    我不知道 Mozilla 的影响力有多大,我只知道几乎所有浏览器的 User Agent 中都有 Mozilla 这个单词。。。。
    wdlth
        3
    wdlth  
       2016-10-09 23:02:21 +08:00   ❤️ 1
    Mozilla 是 CA/Browser Forum 的成员,问题是数字也是 CA/Browser Forum 的成员,估计结果无非是自罚三杯……

    有趣的是下面竟然有 WoSign 的 Pingback:https://cabforum.org/members/
    Explorare
        4
    Explorare  
    OP
       2016-10-09 23:04:15 +08:00
    @wayslog 如果其他组织能快速跟进,这样大概能推动使用 WoSign / StartCom 证书的网站换掉证书吧,虽然说目前的决定是不信任未来一年的证书,对之前签发的证书无影响,但是网站用了一个没法续签的证书也是个麻烦。
    Explorare
        5
    Explorare  
    OP
       2016-10-09 23:05:50 +08:00
    @wdlth www
    zent00
        6
    zent00  
       2016-10-09 23:08:36 +08:00 via Android
    是否信任某个证书确实是个人自由,所以绝大多数浏览器都给了用户选择权,用户可以自行添加并信任这些证书。但是作为一个浏览器厂商,如果随随便便就把那些游走在灰色地带的厂商颁发的证书为默认可信,从职业操守上来说,这是对用户不负责的行为。
    Explorare
        7
    Explorare  
    OP
       2016-10-09 23:08:37 +08:00
    其实说到底还是自己手贱吊销了 WoSign / StartCom 的根证书,导致访问一些博客和小网站会遇到证书被吊销的问题。每次我都会联系站长建议更换到 Let's Encrypt ,他们都会很客气的回复感谢提醒接受建议。但是如果业界能直接形成拒绝 WoSign 的主流得话不就省事多了么,懒 ( ´_ゝ`)
    Explorare
        8
    Explorare  
    OP
       2016-10-09 23:11:50 +08:00
    @zent00 从另一个角度看。如果某个站长并不认为 WoSign 的行为会危及网络安全而是用了其签发的证书,我认为这也算是变相的要挟用户信任了这个证书,把自己的选择强加在别人身上。虽然说访问不访问也是用户的自由就是了,但有些时候你是非看不可的,比如校务系统之类的。
    zent00
        9
    zent00  
       2016-10-09 23:29:04 +08:00 via Android
    现在虽然只有 Mozilla 和 Apple 表态了,这两家的行动也不一定能影响其它厂商,但同行们至少会思考为什么 Mozilla 和 Apple 会作出这样的决定, WoSign / StartCom 现在也会被重点关照,以后万一再出什么篓子,那就真混不下去了。
    billlee
        10
    billlee  
       2016-10-10 00:06:31 +08:00
    @Explorare 不是停止信任一年吧,是一年内不能重新申请成为 CA; 一年后申请也还要重新做 WebTrust 审计的。
    ryd994
        11
    ryd994  
       2016-10-10 02:48:40 +08:00 via Android
    如果我没记错的话,很多开源 https 客户端默认或者建议用户使用 Mozilla 的 CA bundle ,比如 curl
    nvidiaAMD980X
        12
    nvidiaAMD980X  
       2016-10-10 03:14:10 +08:00 via Android
    @zent00 还有 Comodo 已经吊销了之前和 Wosign 签的交叉。

    如果 Google 能够跟进的话, Wosign/StartCom 基本已经完蛋了,就如同之前的 CNNIC CA 一样,现在 CNNIC 的官网都不用自己的 CA 了,换成了 Digicert CA 。

    @Explorare 另外,很多大学的校务系统都还没有上 HTTPS ,仍然用 HTTP 协议。
    Explorare
        13
    Explorare  
    OP
       2016-10-10 08:07:47 +08:00
    @billlee 多谢指正。我语文水平有限想的和写的不一样了。这里重写一下,是一年内签发的新证书不受信任(能签,但是不信任),不影响之前签发的证书。这一招还是挺明智的,不影响大多数用户,同时又制裁了 WoSign 。
    Explorare
        14
    Explorare  
    OP
       2016-10-10 08:09:17 +08:00
    @nvidiaAMD980X 敲碗坐等 Google 和 M$ 跟进,看戏的不嫌事大 ( ゚∀。)
    Explorare
        15
    Explorare  
    OP
       2016-10-10 08:10:12 +08:00
    @ryd994 多谢情报,这个还真不知道。
    xmoiduts
        16
    xmoiduts  
       2016-10-10 08:15:57 +08:00 via Android
    我们其中一个教务系统好像是 rapidssl 的,是少有的经常维护的网站,不过也被报了 sha1 的红锁。
    RqPS6rhmP3Nyn3Tm
        17
    RqPS6rhmP3Nyn3Tm  
       2016-10-10 08:18:15 +08:00 via iPhone
    @Explorare 中心化的信任系统就是这样,如果你必须的网站就是喜欢沃通,那么你就得信任沃通。
    虽然我用 LE ,但是依然觉得用什么证书是由网站的管理员需求决定。作为站长我会用 LE ,作为用户我则不会吊销系统或浏览器自带的证书。这些事情巨无霸们都考虑好了,我们就不用操心了。
    yidinghe
        18
    yidinghe  
       2016-10-10 09:02:02 +08:00 via Android
    世上没有绝对的无潜规则地带,但人家好就好在,即使有潜规则存在,也不允许违背明面上的规则,潜规则只能钻空子而不能代替明规则。中国就不一样,明规则都是一纸空文,潜规则主宰一切。
    bernardx
        19
    bernardx  
       2016-10-10 17:10:15 +08:00
    同意 @BXIA 其实我还是不太建议手动删除证书,这么多大厂都盯着呢。
    我之前也表达过,目前手动删除最多是一个行为艺术。 LE 是免费的,而很多大站用的 WoSign 和 StartSSL 是收费的 EV 和 OV ,你是相信 LE 免费的 DV 还是 StartSSL 的 EV 呢?
    Explorare
        20
    Explorare  
    OP
       2016-10-10 17:29:27 +08:00
    @bernardx 免费并不代表证书可以随意签发。收费也无法证明证书签发手续和技术是否规范。现在 WoSign 面临的问题就是证书签发手段和技术出了问题,做出了不合法但又被信任的证书。这才是问题。如果他能改正那么我还是可以继续信任的。
    bernardx
        21
    bernardx  
       2016-10-10 20:18:44 +08:00
    @Explorare 你的观点没错,但这是站在 CA 的角度,所以我前面说 CA 有这么多大厂盯着,不必我们来操心。
    但站在个人角度,我去 LE 签张免费的证书,然后搞个钓鱼网站,又有谁会注意到呢?
    Explorare
        22
    Explorare  
    OP
       2016-10-10 20:39:18 +08:00
    @bernardx 证书避免的是中间人攻击。钓鱼网站看域名、 IP 归属、备案记录。另外大型企业都用 EV , chrome/FF 上一眼能看出,但是手机端就比较尴尬了。
    lslqtz
        23
    lslqtz  
       2016-10-14 08:00:37 +08:00
    @bernardx 如果用假的 ev 证书和真的 dv 证书,你说哪个你觉得可信?
    ershiwo
        24
    ershiwo  
       2016-10-15 21:47:23 +08:00
    之前给奶牛关写信了,然后他们已经把证书从 WoSign 换到了 Let's Encrypt (
    反正日常 Fx ,该手动吊销证书就吊销证书,系统内置的我就懒得管了。
    Explorare
        25
    Explorare  
    OP
       2016-10-15 23:05:19 +08:00
    @ershiwo ⊂彡☆))∀`)
    Khlieb
        26
    Khlieb  
       2016-11-13 21:59:08 +08:00 via Android
    Mozilla Wiki 上面都有好多沃通的不良记录了,而且他们在 Google 网上论坛的讨论区都有讨论的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1099 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:25 · PVG 03:25 · LAX 11:25 · JFK 14:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.