Mozilla 最终给了 WoSign 一个 Bad End ,这个诸位应该都比我知道的清楚。我就比较好奇 Mozilla 做出的这个决定究竟会对业界产生怎样的影响呢,他旗下产品会吊销 WoSign 证书,比如 Firefox 和 Thunderbird ,然而主流还是 Chromium 内核的浏览器。或者说在 Mozilla 做出这个决定后,会推动其合作伙伴陆续加入这个行动?诸位怎么看呢? ps.请不要讨论关于隐私价值、监听成本等话题,是否信任某个证书是个人自由,吊销某些证书是否能维护通信安全和言论自由每个人心里都有数,请开新帖讨论。
1
wayslog 2016-10-09 22:40:14 +08:00 via Android
这事儿不是 Mozilla 的影响力问题,事实上 Mozilla 也没义务和行动去向其他人推广什么。只需要把事实摆开,证据拿出来,不用它推动,自然有责任心的厂商组织会去吊销 WoSign 的。毕竟信任才是这一套证书系统的基石。就好比你有一天发现了某个人在向别人贩卖你在他那寄存的身份信息,你把这事儿披露出来,自然不会再有人去他那存身份信息。
|
2
pmpio 2016-10-09 22:50:49 +08:00
我不知道 Mozilla 的影响力有多大,我只知道几乎所有浏览器的 User Agent 中都有 Mozilla 这个单词。。。。
|
3
wdlth 2016-10-09 23:02:21 +08:00 1
Mozilla 是 CA/Browser Forum 的成员,问题是数字也是 CA/Browser Forum 的成员,估计结果无非是自罚三杯……
有趣的是下面竟然有 WoSign 的 Pingback:https://cabforum.org/members/ |
4
Explorare OP @wayslog 如果其他组织能快速跟进,这样大概能推动使用 WoSign / StartCom 证书的网站换掉证书吧,虽然说目前的决定是不信任未来一年的证书,对之前签发的证书无影响,但是网站用了一个没法续签的证书也是个麻烦。
|
6
zent00 2016-10-09 23:08:36 +08:00 via Android
是否信任某个证书确实是个人自由,所以绝大多数浏览器都给了用户选择权,用户可以自行添加并信任这些证书。但是作为一个浏览器厂商,如果随随便便就把那些游走在灰色地带的厂商颁发的证书为默认可信,从职业操守上来说,这是对用户不负责的行为。
|
7
Explorare OP 其实说到底还是自己手贱吊销了 WoSign / StartCom 的根证书,导致访问一些博客和小网站会遇到证书被吊销的问题。每次我都会联系站长建议更换到 Let's Encrypt ,他们都会很客气的回复感谢提醒接受建议。但是如果业界能直接形成拒绝 WoSign 的主流得话不就省事多了么,懒 ( ´_ゝ`)
|
8
Explorare OP @zent00 从另一个角度看。如果某个站长并不认为 WoSign 的行为会危及网络安全而是用了其签发的证书,我认为这也算是变相的要挟用户信任了这个证书,把自己的选择强加在别人身上。虽然说访问不访问也是用户的自由就是了,但有些时候你是非看不可的,比如校务系统之类的。
|
9
zent00 2016-10-09 23:29:04 +08:00 via Android
现在虽然只有 Mozilla 和 Apple 表态了,这两家的行动也不一定能影响其它厂商,但同行们至少会思考为什么 Mozilla 和 Apple 会作出这样的决定, WoSign / StartCom 现在也会被重点关照,以后万一再出什么篓子,那就真混不下去了。
|
10
billlee 2016-10-10 00:06:31 +08:00
@Explorare 不是停止信任一年吧,是一年内不能重新申请成为 CA; 一年后申请也还要重新做 WebTrust 审计的。
|
11
ryd994 2016-10-10 02:48:40 +08:00 via Android
如果我没记错的话,很多开源 https 客户端默认或者建议用户使用 Mozilla 的 CA bundle ,比如 curl
|
12
nvidiaAMD980X 2016-10-10 03:14:10 +08:00 via Android
|
13
Explorare OP @billlee 多谢指正。我语文水平有限想的和写的不一样了。这里重写一下,是一年内签发的新证书不受信任(能签,但是不信任),不影响之前签发的证书。这一招还是挺明智的,不影响大多数用户,同时又制裁了 WoSign 。
|
14
Explorare OP @nvidiaAMD980X 敲碗坐等 Google 和 M$ 跟进,看戏的不嫌事大 ( ゚∀。)
|
16
xmoiduts 2016-10-10 08:15:57 +08:00 via Android
我们其中一个教务系统好像是 rapidssl 的,是少有的经常维护的网站,不过也被报了 sha1 的红锁。
|
17
RqPS6rhmP3Nyn3Tm 2016-10-10 08:18:15 +08:00 via iPhone
@Explorare 中心化的信任系统就是这样,如果你必须的网站就是喜欢沃通,那么你就得信任沃通。
虽然我用 LE ,但是依然觉得用什么证书是由网站的管理员需求决定。作为站长我会用 LE ,作为用户我则不会吊销系统或浏览器自带的证书。这些事情巨无霸们都考虑好了,我们就不用操心了。 |
18
yidinghe 2016-10-10 09:02:02 +08:00 via Android
世上没有绝对的无潜规则地带,但人家好就好在,即使有潜规则存在,也不允许违背明面上的规则,潜规则只能钻空子而不能代替明规则。中国就不一样,明规则都是一纸空文,潜规则主宰一切。
|
19
bernardx 2016-10-10 17:10:15 +08:00
同意 @BXIA 其实我还是不太建议手动删除证书,这么多大厂都盯着呢。
我之前也表达过,目前手动删除最多是一个行为艺术。 LE 是免费的,而很多大站用的 WoSign 和 StartSSL 是收费的 EV 和 OV ,你是相信 LE 免费的 DV 还是 StartSSL 的 EV 呢? |
20
Explorare OP @bernardx 免费并不代表证书可以随意签发。收费也无法证明证书签发手续和技术是否规范。现在 WoSign 面临的问题就是证书签发手段和技术出了问题,做出了不合法但又被信任的证书。这才是问题。如果他能改正那么我还是可以继续信任的。
|
21
bernardx 2016-10-10 20:18:44 +08:00
@Explorare 你的观点没错,但这是站在 CA 的角度,所以我前面说 CA 有这么多大厂盯着,不必我们来操心。
但站在个人角度,我去 LE 签张免费的证书,然后搞个钓鱼网站,又有谁会注意到呢? |
22
Explorare OP @bernardx 证书避免的是中间人攻击。钓鱼网站看域名、 IP 归属、备案记录。另外大型企业都用 EV , chrome/FF 上一眼能看出,但是手机端就比较尴尬了。
|
24
ershiwo 2016-10-15 21:47:23 +08:00
之前给奶牛关写信了,然后他们已经把证书从 WoSign 换到了 Let's Encrypt (
反正日常 Fx ,该手动吊销证书就吊销证书,系统内置的我就懒得管了。 |
26
Khlieb 2016-11-13 21:59:08 +08:00 via Android
Mozilla Wiki 上面都有好多沃通的不良记录了,而且他们在 Google 网上论坛的讨论区都有讨论的
|