Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
crella
V2EX  ›  程序员

你们信任 CFCA 证书吗?

  •   
  •   crella · Mar 9, 2020 · 8859 views
    This topic created in 2260 days ago, the information mentioned may be changed or developed.

    cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了

    用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm

    图片见 cert02.jpg

    关掉杀毒软件,浏览器自行拦截的提示是: cert03.jpg

    刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书

    这个 CFCA 不知道风评如何?

    http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA

  • cfca
  • 证书
  • 拦截
  • digicert
    25 replies    2024-02-11 13:27:58 +08:00
    qwerthhusn
        1
    qwerthhusn  
       Mar 9, 2020   ❤️ 1
    https://www.gov.cn/
    这个够官方了,人家在用 GlobalSign 的
    lshero
        2
    lshero  
       Mar 9, 2020
    这还算是通过了 WebTrust 审计的
    感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用
    dndx
        3
    dndx  
       Mar 9, 2020   ❤️ 1
    不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。
    derekwei
        4
    derekwei  
       Mar 9, 2020
    各种网银加金融基础设施认证都用他家的证书...
    yohanechan
        5
    yohanechan  
       Mar 9, 2020   ❤️ 2
    当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上
    但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便
    大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site
    eason1874
        6
    eason1874  
       Mar 9, 2020
    微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。
    mytsing520
        7
    mytsing520  
    PRO
       Mar 9, 2020
    Google Chrome、Microsoft 有信任这个
    loukky
        8
    loukky  
       Mar 9, 2020 via Android
    Android chrome 可以直接打开
    lc7029
        9
    lc7029  
       Mar 10, 2020
    不信任,用它还不如自签证书
    domosekai
        10
    domosekai  
       Mar 10, 2020
    中邮海外购用这个
    Windelight
        11
    Windelight  
       Mar 10, 2020 via Android
    中金 CA 可以說還是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。
    另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。


    此处中国不包括 Hongkong Post 和 Taiwan CA
    Explr
        12
    Explr  
       Mar 10, 2020   ❤️ 1
    我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。
    lovedebug
        13
    lovedebug  
       Mar 10, 2020
    自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。
    whileFalse
        14
    whileFalse  
       Mar 10, 2020
    CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。
    baobao1270
        15
    baobao1270  
       Mar 10, 2020   ❤️ 1
    我禁用了的,目前并无不便。
    julyclyde
        16
    julyclyde  
       Mar 10, 2020   ❤️ 1
    @whileFalse cfca 没资格签发 gov.cn 的域名的。这属于专业类的,gov.cn 根本不会问他们做生意
    Xusually
        17
    Xusually  
       Mar 10, 2020
    不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。
    然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。
    摊手.jpg
    Semidio
        18
    Semidio  
       Mar 10, 2020 via iPhone
    @julyclyde 但是上面图里的不是 gov.cn 域名吗?
    jwenjian
        19
    jwenjian  
       Mar 10, 2020
    CFCA 的证书为啥不信任?金融体系离不了...
    julyclyde
        20
    julyclyde  
       Mar 11, 2020
    @Semidio 我错了
    Cert
        21
    Cert  
       Apr 15, 2021 via Android
    不要信任。自称跟金融有关,但是没有一个银行的网银用 CFCA 的证书。中央各部委网站,也只有外交部在用 CFCA 证书
    Cert
        23
    Cert  
       May 22, 2021 via Android
    @tia 辛苦你了,想请问一下你是怎么整理出这些网址的呢?想想你学习一下方法
    tia
        24
    tia  
       May 22, 2021
    @Cert #23 网站下面都有链接啊
    hhhsuan
        25
    hhhsuan  
       Feb 11, 2024 via Android
    12306 用的是 cfca 的证书,我之前把我的安卓手机上的 cfca 证书禁用了,最近国内回家买票发现 12306 用不了,开始也没想到是这个原因,折腾了三天最后才发现。经验教训就是,如果生活在国内,还是不能禁用
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3107 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 79ms · UTC 14:35 · PVG 22:35 · LAX 07:35 · JFK 10:35
    ♥ Do have faith in what you're doing.