V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lxf1992521
V2EX  ›  SSL

StartSSL 完蛋了吗?之后的 CA 证书,不论是免费版,还是收费版,都不会被三大浏览器(FF,Ch,Sa)信任了吧?

  •  
  •   lxf1992521 · 2016-11-02 10:53:28 +08:00 · 12486 次点击
    这是一个创建于 2945 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,公司之前的证书全部使用的是沃通的免费 SSL ,后来看到 FF 发通告所沃通将不被信任,所以准备迁移到 StartSSL 收费版;

    但是最近一段时间的三大浏览器接二连三的发通告,声称不再信任之后的沃通 /StartCom 迁出的 CA 证书, Sa 浏览器更狠,连之前签发的都不信任了。

    所以不知道现在 startssl 收费版还能不能用,不能用的话,大家推荐下比较好的 CA 收费版签发机构?

    第 1 条附言  ·  2016-11-02 11:31:28 +08:00
    搜了下其他的帖子,发现都是外国的,中国自己的不靠谱。
    有人推荐了 https://ssl.do ,看了下是中文的,不知道怎么样,看样子是一个 SSL 代理商,不知道靠谱不?
    哎,临时抱佛脚,好忧伤!!!
    第 2 条附言  ·  2016-11-02 14:15:42 +08:00
    总结了下:
    https://common-buy.aliyun.com/?commodityCode=cas#/buy
    https://ssl.do/type/

    可以看价格、类型,是否支持泛域名等。
    101 条回复    2020-11-18 15:14:22 +08:00
    1  2  
    netwboy
        1
    netwboy  
       2016-11-02 11:09:24 +08:00
    comodo
    phithon
        2
    phithon  
       2016-11-02 11:14:33 +08:00
    贵司好奇怪。。。从我痛迁移到 startssl 。。有啥区别么。。
    最好是 comodo 吧,可以买到 ecc 的证书,也便宜
    hiboshi
        3
    hiboshi  
       2016-11-02 11:16:24 +08:00
    alphassl 免费
    pango
        4
    pango  
       2016-11-02 11:17:00 +08:00
    letsencrypt 挺好的,各大浏览器均认同他们家的。
    而且有自动续签脚本,配置好后就根本不用管了。
    lxf1992521
        5
    lxf1992521  
    OP
       2016-11-02 11:17:24 +08:00
    @phithon 之前上级并不知道 StartCom 和 沃通之间的关系,再者我也决定不了,现在出事了,只能临时抱佛脚了,╮(╯▽╰)╭
    ctsed
        6
    ctsed  
       2016-11-02 11:18:59 +08:00
    国内的 ssl 商都被干死了
    honeycomb
        7
    honeycomb  
       2016-11-02 11:20:02 +08:00 via Android   ❤️ 1
    所以这么重要的事情,你们都不会仔细看一下 moziila , Google ,苹果的声明原文,各自的政策都说的很详细了。

    Mozilla 在 Google 的 security 论坛连当时讨论过程的全部原文都有。
    liqiazero
        8
    liqiazero  
       2016-11-02 11:31:20 +08:00
    letsencrypt +1 ! 我只是在我个人的站点用的这个,然后我司有一部分探索性质的业务在用,各位有没有大量商用的经验和痛点可以分享。
    likuku
        9
    likuku  
       2016-11-02 11:35:14 +08:00   ❤️ 1
    自己看下 google,facebook,ms,amazon 自己的 ssl 签名,找这些公司用的 ssl CA 签发就是了,去年从其中某家签过,也并不贵。
    jasontse
        10
    jasontse  
       2016-11-02 11:39:28 +08:00 via iPad   ❤️ 1
    langmoe
        11
    langmoe  
       2016-11-02 11:40:22 +08:00   ❤️ 3
    公司用的东西,能花钱就花钱,千万不要妄想靠自己的 技术 /渠道 /关系 给公司省钱,除非老板是你亲戚
    ssl.do 好像是凤凰卷和兽兽开的?人就在 V 站,如果开发票也是刚需的话可以艾特他俩咨询一下,靠谱应该还是靠谱的
    zqcolor
        12
    zqcolor  
       2016-11-02 11:48:28 +08:00
    letsencrypt +1
    hqfzone
        13
    hqfzone  
       2016-11-02 11:49:29 +08:00
    三大浏览器都说了?
    yexm0
        14
    yexm0  
       2016-11-02 12:15:44 +08:00 via Android
    @hqfzone 嗯.最开始是 ff,接着是 apple,反应最慢的 g 家也在昨天发 revoke 通告了。
    lshero
        15
    lshero  
       2016-11-02 12:17:44 +08:00
    坐等数字厂推广 Opera
    yexm0
        16
    yexm0  
       2016-11-02 12:17:52 +08:00 via Android   ❤️ 1
    至于 ssl.do 则是 @Showfom 家的。
    mooncakejs
        17
    mooncakejs  
       2016-11-02 12:22:17 +08:00
    Safari 的通告没收到,贴上来?说实话与其说是安全问题,不如说是政治问题
    LU35
        18
    LU35  
       2016-11-02 12:31:24 +08:00 via Android   ❤️ 1
    @mooncakejs 这都能和政治扯上关系,拜托先看看声明和讨论内容。
    Tink
        19
    Tink  
       2016-11-02 12:40:25 +08:00
    就不能找点靠谱的么
    maze1024
        20
    maze1024  
       2016-11-02 12:40:27 +08:00 via Android
    感觉数字厂会用安装补丁的方式把证书装回去。。。
    rainy3636
        21
    rainy3636  
       2016-11-02 12:44:27 +08:00 via iPhone   ❤️ 3
    @mooncakejs 5 毛已转账,立即查收
    skyeycirno
        22
    skyeycirno  
       2016-11-02 12:45:31 +08:00 via iPhone
    腾讯不就有??
    Technetiumer
        23
    Technetiumer  
       2016-11-02 13:44:07 +08:00
    mooncakejs
        24
    mooncakejs  
       2016-11-02 13:51:49 +08:00
    @rainy3636
    @LU35
    本来也是觉得沃通作死。 知道看到了 @ctsed ”国内的 ssl 商都被干死了“ , g 家之类的棱镜门事件后本能不信任
    ctsed
        25
    ctsed  
       2016-11-02 14:00:00 +08:00
    这些基础设施 可以打可以骂可以尘封雪藏 但绝对不能死
    RqPS6rhmP3Nyn3Tm
        26
    RqPS6rhmP3Nyn3Tm  
       2016-11-02 14:08:30 +08:00 via iPhone
    歪个楼,国密证书……据说 360 是支持的
    miao
        27
    miao  
       2016-11-02 14:51:53 +08:00
    更正一下看, 三大浏览器(FF,Ch,IE), 没 Sa 什么事
    mytsing520
        28
    mytsing520  
       2016-11-02 15:55:23 +08:00
    @miao 直接以 apple 公司的身份发布的声明,但我想说的可能是两个事
    hqfzone
        29
    hqfzone  
       2016-11-02 16:18:03 +08:00
    都是已签发的证书继续支持吧, startssl 还好一点。
    虽然有错,但还是觉得 Mozilla 是考虑到 Let ’ s Encrypt 的推广才下这么狠的手。沃通这下算栽了。
    https://support.apple.com/en-au/HT204132
    honeycomb
        30
    honeycomb  
       2016-11-02 16:18:14 +08:00 via Android   ❤️ 1
    @mooncakejs

    这次事件是很明确的沃通自己挖了很多坑(蓄意地不守规矩)。

    Mozilla 的讨论组有当时完整的记录,你为什么不去看一下。

    @miao @mytsing520
    苹果到目前只是准备封杀 wosign 的免费证书依赖的中级证书。微软倒是什么都没做。
    ghbjy1128
        31
    ghbjy1128  
       2016-11-02 17:03:57 +08:00
    @langmoe 那个黑木耳兽兽?
    mooncakejs
        32
    mooncakejs  
       2016-11-02 17:06:28 +08:00
    @honeycomb 我说是政治问题是,中方在计算机基础设备方面话语权太少,基本被美国几个公司拿捏。规矩完全是先来者定的,天价 https 证书我也不想买。
    沃通除了中间有域名验证问题导致签发了几个冒名证书,搞笑的是,这个属于 10.21 前签发的。
    挖坑什么的,棱镜门刚过去就忘记了?
    joyqi
        33
    joyqi  
       2016-11-02 17:22:09 +08:00
    用 12306 的证书来签。。。
    yidinghe
        34
    yidinghe  
       2016-11-02 18:14:29 +08:00 via Android
    以后业界管它叫“ 360 的证书”。
    Quaintjade
        35
    Quaintjade  
       2016-11-02 18:21:12 +08:00 via Android   ❤️ 3
    @mooncakejs
    洗地前能自己好好看看沃通这二货之前挖了多少坑吗?
    https://wiki.mozilla.org/CA:WoSign_Issues

    最后被取消信任是因为“故意”签发 back-dating 证书。
    mooncakejs
        36
    mooncakejs  
       2016-11-02 18:27:35 +08:00
    @Quaintjade 我无意洗地。我只是阴谋论:已签发的继续支持就比较有意思了
    Marfal
        37
    Marfal  
       2016-11-02 18:38:12 +08:00
    Qcloud 也有免费的证书啊
    Quaintjade
        38
    Quaintjade  
       2016-11-02 18:39:20 +08:00 via Android   ❤️ 1
    @mooncakejs
    Mozilla 已放过话,如果被发现再有 back-dating ,那就连已签发的一并吊销。

    自己作死玩脱了就扯什么政治问题,呵呵。

    哦对了,沃通解释签发 SM2 证书问题还扯什么作为中国企业有义务配合测试国产加密算法呢。
    wd85318
        39
    wd85318  
       2016-11-02 18:46:31 +08:00
    @Quaintjade
    人家不看的,反正这是帝国主义的阴谋。。
    falcon05
        40
    falcon05  
       2016-11-02 18:54:38 +08:00 via iPhone
    我有一张 startSSL 免费版的证书,过期不续了,真心自己玩死
    mooncakejs
        41
    mooncakejs  
       2016-11-02 19:03:12 +08:00
    @wd85318
    @Quaintjade 我说的不是帝国主义阴谋,只是圈内圈外罢了,想想看几年前 ssl 什么价,现在什么价
    Quaintjade
        42
    Quaintjade  
       2016-11-02 19:11:15 +08:00 via Android
    @mooncakejs
    => Let's encrypt

    要 wildcard 的话, vmbox 还是有的。
    Hanxv
        43
    Hanxv  
       2016-11-02 19:31:06 +08:00 via Android
    @Showfom
    你的 ssl.do www

    @lxf1992521
    EV 證書,如果 @Showfom 把你坑了,你可以去找 comodo , www
    bookit
        44
    bookit  
       2016-11-02 19:42:25 +08:00
    @mooncakejs 360 必须死
    mooncakejs
        45
    mooncakejs  
       2016-11-02 20:00:30 +08:00
    @Quaintjade lets 目前可以玩玩,商业网站没法用的。 没有免费证书的时候,商业网站就是要给 证书商交保护费
    mooncakejs
        46
    mooncakejs  
       2016-11-02 20:02:14 +08:00
    @bookit 360 作为搅局者,乱了规矩么。
    matsuz
        47
    matsuz  
       2016-11-02 20:22:45 +08:00
    SSL 证书经销商推荐 ssl.do
    不过上面似乎说过了,那我再来推荐一个 https://www.gogetssl.com/
    证书品牌的话, Symantec 、 GeoTrust 、 GlobalSign 这些都不错
    要便宜就选 Comodo
    Quaintjade
        48
    Quaintjade  
       2016-11-02 20:37:29 +08:00 via Android
    @mooncakejs
    为什么不能用? DV 级别的证书都一样。
    如果商业网站不能用 LE ,那么沃通又为啥能用?

    OV 和 EV 本来就贵,而且沃通好像还是能签发 EV 根的。
    Vhc
        49
    Vhc  
       2016-11-03 00:05:19 +08:00
    @yexm0
    > 最开始是 ff
    Firefox 的缩写是 Fx
    yexm0
        50
    yexm0  
       2016-11-03 00:13:15 +08:00 via Android
    @Vhc "For the abbreviation of Firefox, Mozilla prefers Fx or fx, though it is often abbreviated as FF."
    叫它做 ff 其实也没啥问题。
    Showfom
        51
    Showfom  
       2016-11-03 01:36:49 +08:00 via iPhone
    @Hanxv 当时本来要申请 StartSSL 的 sub CA 还好没申请通过 ww
    nvidiaAMD980X
        52
    nvidiaAMD980X  
       2016-11-03 01:55:34 +08:00 via Android
    楼主,贵司花钱买一个 SSL 证书这么难吗?居然还从 Wosign 转到 StartCom, 这等于没变啊!
    花钱上 Symantec EV ,保证高大上!
    nvidiaAMD980X
        53
    nvidiaAMD980X  
       2016-11-03 01:59:19 +08:00 via Android
    @mooncakejs 是的, 360 就是乱了规矩!恶行累累。反正我都把 360 的数字签名拉黑了,家里的 PC 再也不用担心误装 360 了!
    woocean
        54
    woocean  
       2016-11-03 03:45:34 +08:00 via Android
    ssl.do 又不算是多便宜,除了域名也不会给人很靠谱的感觉。虽然 ssl 证书各家应该没差。

    gogetssl 确实价格不错。

    let't en 在某些手机端不大行。多刷新几次才可以。
    如果只是 DV 的话腾讯云可以免费申请, GeoTrust 的吧,我和朋友都觉得速度比 comodo 快一些哦!
    Showfom
        55
    Showfom  
       2016-11-03 04:50:15 +08:00 via iPhone
    @woocean 为啥不靠谱?有问题可以随时和我联系
    Hanxv
        56
    Hanxv  
       2016-11-03 07:33:39 +08:00 via Android
    @Showfom
    @woocean
    二次元氣息? www
    initialdp
        57
    initialdp  
       2016-11-03 08:19:32 +08:00
    这种情况下,我总是愿意安利一下 LetsEncrypt ,免费又好用!个人网站、企业网站都能用,帮客户也安装了很多,自动脚本续签,非常放心。

    世界如此美好,何必纠结在这些浪费时间的事情上?
    yylzcom
        58
    yylzcom  
       2016-11-03 08:33:52 +08:00   ❤️ 2
    能说上政治阴谋的我服, CA 体系本身就是一个建立在 CA 机构本身信用上的体系,一旦 CA 签发机构失去了权威性,这个体系就毫无意义。所以这种乱搞的一定要被封杀,不然要个证书有鸟用?

    其实上想坑国人的就是沃通,他们明确在帖子里要求上述几个组织信任在中国市场使用的证书(洋大人我不敢坑你们,我们伪造只坑中国的傻逼网民),就这样还有为沃通洗的(原文: https://www.v2ex.com/t/309184?p=1#r_3597970

    我服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服!!!
    yylzcom
        59
    yylzcom  
       2016-11-03 08:38:06 +08:00
    还有 360 浏览器也该死,默认设置证书错误的情况下不弹出错误提示,直接写 cookies !!!!这样还要证书干嘛?!
    huijiewei
        60
    huijiewei  
       2016-11-03 09:43:55 +08:00 via iPhone   ❤️ 1
    五毛现在都不培训了吗

    什么该洗什么洗不了不出个章程吗
    bilok
        61
    bilok  
       2016-11-03 10:30:51 +08:00 via iPhone
    @mooncakejs themeforest.net 目前用的就是 lets encrypt 它不是商业网站?
    mooncakejs
        62
    mooncakejs  
       2016-11-03 10:31:55 +08:00
    @yylzcom ca 体系是谁建立的? 后来者进入容易吗?谁负责考核? ca 对谁负责,对网民负责还是对股东负责? v2 有一种错觉,西方公司比中方公司可靠,甚至比中国政府可靠。
    mooncakejs
        63
    mooncakejs  
       2016-11-03 10:34:02 +08:00
    @bilok 你的意思是公司域名都是一年一年续费的?公司要的是稳定性, lets 目前只有 3 个月,自动续签失效怎么办
    yylzcom
        64
    yylzcom  
       2016-11-03 10:40:14 +08:00   ❤️ 2
    @mooncakejs 就是论事,这件事情上沃通做得明显不对,这也还能洗?沃通都签发证书那么久了,什么叫进入容易?他自己不作死能 revoke 他?

    这件事情是你自己扯上政治和政府的,还有西方和中方公司的,我只单纯针对沃通本身。这个帖子里从头至尾只有你一个人有政治倾向
    woocean
        65
    woocean  
       2016-11-03 10:40:15 +08:00 via Android
    @Showfom 二次元气息太重,前端很不错但用的 whmcs 自动销售……主要还是感性上让人觉得有点……

    商品和服务还是没啥问题的。
    wd85318
        66
    wd85318  
       2016-11-03 10:49:40 +08:00   ❤️ 1
    @mooncakejs
    你国政府做过的事能让人觉得他可靠?你国公司做的事能让人觉得他可靠?
    你这套偏偏大学生还可以,想骗步入社会的还差得远呢。
    mooncakejs
        67
    mooncakejs  
       2016-11-03 11:06:10 +08:00
    @wd85318 证明你毕业还没多少年。
    公司政府都是一种组织。公司这种组织方式制度上就没有 zf 可靠,它成立的初衷就是为了赚钱,你只要记住一句话”公司只需要对股东负责“,现在看起来”可靠“无法就是利益选择,该背叛用户的时候绝不会留情, 欧美公司棱镜门还没告诉你吗。
    至于 ”你国公司“ ,估计你说的是百度之类的,你说对 你(普通用户)负责还是对它的股东负责(赚钱)。
    yylzcom
        68
    yylzcom  
       2016-11-03 11:09:21 +08:00   ❤️ 1
    @wd85318 别被他带偏了,这种人就没有丝毫逻辑可言。这事沃通被撤无可争辩,于情于理都是要被撤的,他非要弄“政治,东西方公司差异,公司政府差异”来给沃通洗,明眼人一眼就能看出来
    mooncakejs
        69
    mooncakejs  
       2016-11-03 11:11:44 +08:00
    @yylzcom 政治问题不一定非得 中国政府,美国政府这种政治。商业行为合众连横也算得上一种政治,就事论事的潜含义就是”我们都认同了《 ca 体系》的规则,以至于沃通不合规矩就要被 revoke ”,但是你跳出圈外看这个问题,
    互联网一直以开放自由,甚至无政府主义的价值观为导向。 ca 这个角色,为什么由现在那几家担任,规则为什么由他们书写,以至于后来者都需要买他们的服务来交保护费。
    mooncakejs
        70
    mooncakejs  
       2016-11-03 11:13:37 +08:00
    @nvidiaAMD980X 你要看规矩是谁定的,对谁比较有好处,遵守它还是打破它比较有好处,是有 360 搅局还是没有 360 搅局,各大巨头闷声发大财比较好
    sutra
        71
    sutra  
       2016-11-03 11:23:30 +08:00
    @mooncakejs 所以它的建议是 2 个月的时候续签。
    yylzcom
        72
    yylzcom  
       2016-11-03 11:25:04 +08:00   ❤️ 1
    @mooncakejs 关于你说的后来者进入问题,沃通经签发了那么久的证书了,还不算进入?有谁设置障碍阻止他进入了?他被撤销完全是因为他不符合这一要求, mozilla 和 google 都有把详细说明发出来;阴谋论,政治论都是你没有任何证据的臆测,你拿这样的臆测来和别人有 hard evidence 的观点来辩论?
    yylzcom
        73
    yylzcom  
       2016-11-03 11:31:17 +08:00
    @mooncakejs 自动续签失效不会写个脚本监控继续尝试续签或者通知 admin ?说得好像手动续签一定比脚本自动续签还要可靠一样。

    稳定性和” 3 个月的期限“有任何必然关系?要稳定性,沃通这种伪造证书的机构无从谈起吧
    mooncakejs
        74
    mooncakejs  
       2016-11-03 11:48:30 +08:00
    @yylzcom 你要从商业角度想这个 3 个月问题, 购买证书本质上是一份合约,不管免费不免费。 3 个月有效 != 3 个月后可以无效续签,而是这份合约有效期只有 3 个月, 3 个月后的事情谁都不知道,签 2 年就说明 2 年内都可以用。
    mooncakejs
        75
    mooncakejs  
       2016-11-03 11:55:14 +08:00
    @yylzcom 沃通卖自有证书其实没几年,中国才出了一家,你说难不难。

    我都说自己是“阴谋论”了,本质上就是一个分析而已,不代表事实。沃通我不关心,我只是看到潜在的问题是 “现有的几家 ca 机构已经不满足日益增长的 https 需求了,作为大户应该放一点蛋糕出来了”
    tao1991123
        76
    tao1991123  
       2016-11-03 12:00:19 +08:00
    @mooncakejs 别给沃通贴金 你就无视 CFCA?
    mooncakejs
        77
    mooncakejs  
       2016-11-03 12:07:11 +08:00 via iPhone
    @tao1991123 感谢指证
    huijiewei
        78
    huijiewei  
       2016-11-03 12:09:15 +08:00   ❤️ 2
    In our policy newsgroup, WoSign proposed that an appropriate response to this list of issues (or the subset of them known at the time they made their proposal, which did not include any of the SHA-1 backdating information) would be to constrain them to issuing in the China market only in future. However, we don ’ t feel that Mozilla ’ s users in China have lower requirements for CA trustworthiness than Mozilla ’ s users elsewhere.

    只能说呵呵!
    hyyou2010
        79
    hyyou2010  
       2016-11-03 12:18:20 +08:00
    CA 的可信度很大程度来自: 1 、公开, 2 、长年累月积累的信誉。某国政府及某国公司没这两个元素,自然不被信任,这和谁定的规矩无关。如果规矩不够完善是另外一个话题,但无论如何重定规矩,没有信誉的政府和公司都没份,都应该被踢出去。把民族情绪拿来支撑这样无信誉的行为只能说明这种情绪很愚昧而且毫无价值。
    cst4you
        80
    cst4you  
       2016-11-03 13:23:37 +08:00
    4 个字: 活他妈该
    wd85318
        81
    wd85318  
       2016-11-03 13:28:28 +08:00
    @mooncakejs
    又开始扯那套丛林法则啦?啧啧,不亏是丛林法则下教育出来的,只适合非洲大草原,不适合文明社会
    lovedebug
        82
    lovedebug  
       2016-11-03 13:33:15 +08:00
    我能说 CA 组织不是你想进就能进的吗?不花钱花关系就是做梦好不?
    已有的组织成员都会想方设法阻止新玩家的~~
    lovedebug
        83
    lovedebug  
       2016-11-03 13:35:56 +08:00
    @yylzcom CA 组织比较大,而且每个浏览器厂商例如 firefox 也有自己的内置 truststore ,而微软和 chrome 则用 os 系统的。加入 CA 组织可以强制要求组织内的几大浏览器支持自己的 CA ,但是也有加入 firefox CA 而没有加入 CA 组织的情况。
    lovedebug
        84
    lovedebug  
       2016-11-03 13:38:05 +08:00
    还有 CA 组织每年都会搞一些新条例,这些新条例有些看起来是维护安全的名义,实际上为了玩死一些小 CA 。。。 而且很多根 CA 其实都被大厂在后面买断了,表面是一堆品牌,看不出来而已。
    lovedebug
        85
    lovedebug  
       2016-11-03 13:41:38 +08:00
    @hyyou2010 这只是一方面,其实确实是不希望中国有公司加入 CA 组织而已。 CA 组织内出国事的不止一家,忘记是 Verisign 还是 Entrust 乱签 google 被内部通报和谷歌发现都没被踢出去。中国政府想加入也只能偷偷买外国小 CA ,被发现就是踢出去。
    honeycomb
        86
    honeycomb  
       2016-11-03 14:29:42 +08:00 via Android   ❤️ 1
    @lovedebug
    这样说的不对
    wosign 和 CNNIC 事件都有大量明确证据指向它们自己蓄意违反安全规则(如倒填 sha1 证书日期)

    verisign 目前是 Symantec 的子公司
    stneng
        87
    stneng  
       2016-11-03 14:45:26 +08:00   ❤️ 1
    @honeycomb verisign 并不是 Symantec 的子公司,只是认证服务被卖给 Symantec 了而已。
    hyyou2010
        88
    hyyou2010  
       2016-11-04 00:18:05 +08:00
    哈哈,洗地总是最终洗成这样: 1 、西方忘我之心不死, 2 、别人也作恶过,凭什么就踢我。
    Quaintjade
        89
    Quaintjade  
       2016-11-04 09:26:31 +08:00   ❤️ 1
    @lovedebug
    Symantec (Verisign) 签过错误域名的测试证书,但因为无法证明是公司层面的故意行为,所以没有被整个干掉,但记得被干掉了一个根证书。

    你说 Verisign 是 Too big to fail 我同意,但你说中西方差别对待那就错了。因为之后 Wosign 也发生过几乎相同的事件,但同样也没有被踢出去。
    这次被踢是因为*故意*倒填日期,而且 EV 根没被踢。
    lovedebug
        90
    lovedebug  
       2016-11-04 10:10:47 +08:00
    @Quaintjade 这次也是 wosign 作死。不过中西方区别对待在 CA 组织中是真的有- -
    lovedebug
        91
    lovedebug  
       2016-11-04 10:14:19 +08:00
    @hyyou2010 话不是这么讲的。而是 CA 组织搞双重标准受不了。老外的几个大 CA 厂商出事严重多了也没搞得太惨。
    lovedebug
        92
    lovedebug  
       2016-11-04 10:15:39 +08:00
    @hyyou2010 可能你不了解内情吧。 忘了那家公司还给 CA 组织发道歉信说是测试不小心搞出去的。。。然后就信了。
    hyyou2010
        93
    hyyou2010  
       2016-11-04 13:24:17 +08:00
    @lovedebug 哈,你了解内情?我的确不了解内情,因为这些事情就应该从公开的渠道去看。了解内情的你洗地半天也没拿出一样像个样子的干货,除了臆想的阴谋论。
    lovedebug
        94
    lovedebug  
       2016-11-04 13:48:28 +08:00
    @hyyou2010 。。。我有洗么? 只是说了下 CA 内部的情况而已。公开渠道是 CA 组织发布的, CA 组织内部有自己的讨论组。 我的意见是 wosign 自己作死,也别把 CA 组织想的多高尚。利益相关。
    Quaintjade
        95
    Quaintjade  
       2016-11-04 15:37:31 +08:00   ❤️ 1
    @lovedebug
    不知道你所谓的内情是哪里来的?你说的严重出事又是什么?错发测试证书在没有造成严重后果情况下,本来就不会有严厉惩罚,沃通以前犯错也是一样没什么惩罚。

    我已经说了很多遍了, Wosign 这次是因为被证明*故意*才被取消信任。 Wosign 开始辩解说是程序错误,但 Mozilla 从逻辑上反驳了 Wosign 的说法,证明是其主观签发的。
    换句话说,如果 Wosign 给的解释, Mozilla 无法证明它在撒谎,那么也拿 Wosign 没办法。
    lovedebug
        96
    lovedebug  
       2016-11-04 16:16:03 +08:00
    @Quaintjade 内情是利益相关~~ 做 CA 的。同意你的 wosign 作死的看法。我也说了 CA 组织内部的情况作为补充。
    Quaintjade
        97
    Quaintjade  
       2016-11-04 17:54:48 +08:00
    @lovedebug
    并不知道 CA 组织内部还有什么讨论组,如果有的话又有些谁。

    事实上,像这次 wosign 一部分讨论是发在 Google Groups 和 Bugzilla (初步解释),另一部分是邮件完成的(详细报告)。
    经常发难的一般都是浏览器方,主要就 Google 和 Mozilla ,一般发上面两个地方,这是公开的。如果内部组不包括 G/M ,那也没什么用;如果包括 G/M ,我不知道为啥这两家会有那么闲。
    lovedebug
        98
    lovedebug  
       2016-11-07 10:19:47 +08:00
    @Quaintjade 内部是包括 G/M 的,有些会公开有些就是内部讨论了。一般 CA 是轮值主席,每年一次。
    lovedebug
        99
    lovedebug  
       2016-11-07 10:26:00 +08:00
    @Quaintjade CA 组织内根 ROOT 都在里面,当然并非全部的。加入这个组织比较困难。而加入 firefox 等自带 truststore 的会容易点。浏览器厂商作为执行者也在组织内部。
    Khlieb
        100
    Khlieb  
       2016-11-08 21:46:07 +08:00   ❤️ 1
    @hyyou2010 再怎么洗地也掩盖不了这帮女干商的诚信问题
    @yylzcom 用诸葛孔明的话说就是我从未见有如此厚颜无耻之人
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3623 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:51 · PVG 12:51 · LAX 20:51 · JFK 23:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.