V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
manhan9100
V2EX  ›  SSL

Apple blocked trust for WoSign CA Free SSL Certificate G2

  •  1
     
  •   manhan9100 · 2016-10-01 18:15:06 +08:00 · 5685 次点击
    这是一个创建于 2977 天前的主题,其中的信息可能已经有所发展或是发生改变。
    51 条回复    2016-10-07 23:28:53 +08:00
    nvidiaAMD980X
        1
    nvidiaAMD980X  
       2016-10-01 18:32:24 +08:00 via Android
    Apple 终于有所动作了,可惜力度不大,
    StartCom 已经和 Wosign 是一家的了………
    应该把 StartCom 的三个 CA 也拉黑!
    ldbC5uTBj11yaeh5
        2
    ldbC5uTBj11yaeh5  
       2016-10-01 18:33:25 +08:00 via Android
    🍎💊,库克看来铁了心要退出中国。
    yexm0
        3
    yexm0  
       2016-10-01 18:51:55 +08:00 via Android   ❤️ 1
    希望微软也跟上。
    wql
        4
    wql  
       2016-10-01 18:56:53 +08:00
    @nvidiaAMD980X 目前看来暂时不会禁止 StartCom 。这次在苹果看来只是禁止了 StartCom 下面一个中级 CA 叫 WoSign CA Free SSL Certificate G2 在 9 月 19 日前签出的证书。
    nvidiaAMD980X
        5
    nvidiaAMD980X  
       2016-10-01 18:57:31 +08:00 via Android
    @jigloo 反正大陆的 GDP 离不开 Apple ,
    我还是觉得 Apple 对于 SSL 安全的的重视程度不高
    如果不移除 StartCom ,只是拉黑 Wosign CA ,无异于缘木求鱼。
    EricCartman
        6
    EricCartman  
       2016-10-01 19:01:38 +08:00 via Android
    @jigloo 苹果连中华民国国旗的 Emoji 都屏蔽,怎么可能不心向党国
    Quaintjade
        7
    Quaintjade  
       2016-10-01 19:04:09 +08:00
    @wql 是禁了 9 月 19 日以后签发出的证书。 9 月 19 日及之前签发的证书仍有效直到过期。
    ldbC5uTBj11yaeh5
        8
    ldbC5uTBj11yaeh5  
       2016-10-01 19:10:20 +08:00 via Android
    之前 cnnic 的时候,苹果的态度很暧昧和迟疑。最终还是犹抱琵琶半遮面的偷偷拉黑了。

    这次如此积极和高调,而且比上次算的上重手。我闻到了一丝铁幕降临的味道。
    ehs2013
        9
    ehs2013  
       2016-10-01 19:10:30 +08:00
    免费证书出了问题就封掉。其他签发的出了问题再处理就可以嘛
    jasontse
        10
    jasontse  
       2016-10-01 19:36:06 +08:00 via iPad
    @ehs2013
    证书颁发流程出了问题就算你是 Symantec 也照样 ban ,一家 CA 最重要的就是信用和可靠。
    http://www.freebuf.com/news/89530.html
    rrfeng
        11
    rrfeng  
       2016-10-01 20:02:19 +08:00
    我们是 WoSign Class 3 OV Server CA G2 的
    好可怕……得赶紧换
    AirSc
        12
    AirSc  
       2016-10-01 20:31:18 +08:00
    来翻译一遍:

    Apple 屏蔽 WoSign CA Free SSL Certificate G2 ( CA 沃通免费 SSL 证书)

    CA 沃通的中级证书 WoSign CA Free SSL Certificate G2 目前在发放证书过程中遇到了许多控制权验证的问题。尽管在 Apple 的根证书信任列表中没有沃通根证书,但是其与 StartCom 和 Comodo 建立了交叉签名的关系。鉴于这些发现,我们在即将到来的安全更新中将采取措施来保护我们用户的安全。 Apple 的产品将不再信任 WoSign CA Free SSL Certificate G2 颁发的证书。

    为避免影响现有的沃通证书持有者,我们将会给他们一段时间以过渡到那些受信任的 CA 。 Apple 产品将继续信任那些在 2016-09-19 前从这个中级 CA 获得的证书以及公开 Certificate Transparency (证书透明度)的人。除非证书过期,被吊销,或经过 Apple 的考虑进行吊销,这些人依旧能够继续使用他们的证书。

    目前调查仍在继续,如果需要,我们将会在 Apple 产品中对 WoSign/StartCom 采取进一部措施,以保护我们的用户。

    via. https://www.airscr.com/archives/1769.html
    seki
        13
    seki  
       2016-10-01 20:33:33 +08:00
    想问一下这个是不是需要安装更新,还是说会另外(静默)推送给用户?
    nvidiaAMD980X
        14
    nvidiaAMD980X  
       2016-10-01 20:41:30 +08:00 via Android
    我觉得 Apple 应该放开根证书的变动权限,效仿 Android ,可以让用户自动选择是否拉黑证书,
    若是如此,用户可以第一时间得到安全保障,也可以促成由“下对上”的监控,让 CA 证书的颁发者不敢作恶。
    nvidiaAMD980X
        15
    nvidiaAMD980X  
       2016-10-01 20:42:30 +08:00 via Android
    @seki 估计是 iOS10.0.3
    ehs2013
        16
    ehs2013  
       2016-10-01 21:07:57 +08:00
    @jasontse 我看他也是把出问题的 ban 掉了啊, Symantec 的 VeriSign 根证书也没吊销啊。你这自打脸打的真棒
    Cavolo
        17
    Cavolo  
       2016-10-01 21:41:51 +08:00 via iPhone
    iOS 的证书更新必须依赖 iOS 版本更新这个问题很大啊
    Cavolo
        18
    Cavolo  
       2016-10-01 21:43:41 +08:00 via iPhone
    @jigloo 没有啊, https://support.apple.com/en-us/HT207177 最新 iOS10 里面依然包括 cnnic 证书
    ldbC5uTBj11yaeh5
        19
    ldbC5uTBj11yaeh5  
       2016-10-01 21:46:52 +08:00
    seki
        20
    seki  
       2016-10-01 22:09:22 +08:00
    @ehs2013 这和免不免费没关系。 symantec 这个事件是有记录可查的,谁签的,怎么签的,有没有泄漏,影响范围有多大都能确认。而 wosign 完全做不到这一点。
    要类比的话可以看 DigiNotar ,被黑客黑了之后直接破产
    nvidiaAMD980X
        21
    nvidiaAMD980X  
       2016-10-01 22:14:45 +08:00 via Android
    @Cavolo 我在 iOS9 和 iOS10 中的信任证书列表中根本没看到 CNNIC 的啊! C 开头的可信证书中没有 CNNIC …………
    cocochan
        22
    cocochan  
       2016-10-01 22:24:14 +08:00 via iPhone
    @nvidiaAMD980X 拉黑也没用, Comodo StartCom Wosign 互相有交叉密钥。
    换句话说, Comodo 还被信任他就是被信任的。
    最后仅代表个人观点,与我公司无关:被害妄想症
    Cavolo
        23
    Cavolo  
       2016-10-01 22:34:07 +08:00 via iPhone
    @nvidiaAMD980X 直接搜索 cnnic
    nvidiaAMD980X
        24
    nvidiaAMD980X  
       2016-10-01 22:42:13 +08:00 via Android
    @cocochan 这我知道,但 Comodo 的影响力也是很大的,之前 V2 的 HTTPS 用的就是 Comodo 旗下的品牌…………所以我认为是否信任或拉黑某 CA 证书,用户应该具有优先权,例如 Android 就做得很高,既然用户信任某 CA ,用户就应该承担相应的风险。

    但是 iOS 更新的滞后性,导致对于危机的应变能力不足。不肯开发相应权限给用户,是否与 iOS 安全性的初衷相违背?
    nvidiaAMD980X
        25
    nvidiaAMD980X  
       2016-10-01 22:54:17 +08:00 via Android
    @Cavolo 怎么搜索?
    我又仔细看了 iOS10 的 CA 列表, CNNIC 的 CA 只出现在 Blocked certificates 的列表中, trusted certificates 列表中没有啊!
    shierji
        26
    shierji  
       2016-10-01 23:01:09 +08:00 via Android
    妈蛋 我的证书被禁了啊 换 le 去……
    cocochan
        27
    cocochan  
       2016-10-01 23:10:53 +08:00 via iPhone   ❤️ 1
    @nvidiaAMD980X 你要拉黑 Wosign 貌似得拉黑 Comodo StartCom Wosign 这三家才可以,然后就 80%的网站 SSL 错误了 :)

    我觉得苹果肯定有自己的标准,不是 xxx 封了我也封,都是得按照规章制度办事的。
    Google 不也还没封他吗?
    再说了 Moz 的裁决我认为是不公正带有政治色彩因素在里面的,你看看 Comodo 给 Showfom 签发的那个域名就知道严重性是有多大了。远远超出日期倒填,有子域名可以获取根域名这些问题。
    ldbC5uTBj11yaeh5
        28
    ldbC5uTBj11yaeh5  
       2016-10-01 23:17:18 +08:00
    @cocochan 嗯,我也持类似观点。当前党国阔气的时候,一手挟市场已令诸侯一手撒币利益输送,各大豪强巨头无不俯首帖耳。

    如今党国微露败象,这帮白眼狼撤资的撤资,制裁的制裁。真是令人扼腕叹息!

    从《北京折叠》获得雨果奖开始,我就闻到中西又要开始意识形态的对抗了,铁幕初露峥嵘。。。
    yexm0
        29
    yexm0  
       2016-10-01 23:22:11 +08:00
    @cocochan 你是指 vps.toshadowsocks.com 用同一张证书的事?
    nvidiaAMD980X
        30
    nvidiaAMD980X  
       2016-10-01 23:29:35 +08:00 via Android
    @cocochan 本人在 StartSSL 和 360 合作的传闻出现后,立即拉黑 StartCom 和 Wosign CA ,我也想把 Comodo 旗下和 Wosign 签交叉的品牌一同拉黑,但无奈地发现,很多科技类网站都在使用 Comodo 的 CA ,令我无法下手………所以只能彻底拉黑 StartCom 和 Wosign 的 CA ,放着 Comodo 不管…………

    另外,我目前迫切想知道的是 iOS10 的 trusted certificates list 中到底还有没有 CNNIC ?难道只有我看不见吗!
    nvidiaAMD980X
        31
    nvidiaAMD980X  
       2016-10-01 23:40:27 +08:00 via Android
    @jigloo 为什么我觉得《北京折叠》这本书写得太好了,难得有一本大陆小说能与美日科幻小说相媲美?比那个什么《三体》写得好多了,我看过《三体》后,发现它的质量再不断下滑…………而《北京折叠》才是真正的杰作。
    ldbC5uTBj11yaeh5
        32
    ldbC5uTBj11yaeh5  
       2016-10-01 23:43:57 +08:00
    @nvidiaAMD980X 好是好,但是不符合社会主义价值观,所以它“不应该”获得雨果奖。凭着党国的“大外宣”系统的实力,有一百种方法阻止这个事情的发生。

    偏偏发生了,所以我才声称铁幕在徐徐降临,这次的 mozilla/apple 拉黑沃通也勉强算是一个佐证吧。
    Showfom
        33
    Showfom  
       2016-10-01 23:46:07 +08:00 via iPhone
    @cocochan 嘿嘿
    nvidiaAMD980X
        34
    nvidiaAMD980X  
       2016-10-01 23:46:20 +08:00 via Android
    我目前迫切想知道的是 iOS10 的 trusted certificates list 中到底还有没有 CNNIC ?难道只有我看不见吗!
    cocochan
        35
    cocochan  
       2016-10-01 23:52:42 +08:00 via iPhone
    @nvidiaAMD980X 被迫害妄想症,没有人会不惜赔上自己的信誉来折腾你的
    @yexm0 *.sb
    nlzy
        36
    nlzy  
       2016-10-02 00:05:42 +08:00 via Android
    @cocochan *.sb 这证书厉害啊,有截图看看么
    msg7086
        37
    msg7086  
       2016-10-02 00:21:24 +08:00
    #27 #35 @cocochan 你们这些人啊不要听的风就是雨,将来在报道上有偏差你们要负责的!
    RqPS6rhmP3Nyn3Tm
        38
    RqPS6rhmP3Nyn3Tm  
       2016-10-02 02:58:02 +08:00
    @cocochan comodo 签了 *.sb 的证书?太可怕了吧
    RqPS6rhmP3Nyn3Tm
        39
    RqPS6rhmP3Nyn3Tm  
       2016-10-02 03:01:36 +08:00
    Sierra 的 chrome 看不到证书了……

    @yexm0
    irainsoft
        40
    irainsoft  
       2016-10-02 04:46:50 +08:00
    刚才上 Wosign 官网绕了一圈,免费证书申请入口关闭了
    take
        41
    take  
       2016-10-02 05:48:33 +08:00 via Android
    @BXIA 并不是 “*.sb ” 的泛域名证书,只有 “ sb ” 能通过验证
    http://buta.moe/showfom-made-comodo-issued-certificate-for-top-level-domain-sb/
    yidinghe
        42
    yidinghe  
       2016-10-02 05:54:24 +08:00 via Android
    真是普天同庆,不安全的证书颁发机构就该早些淘汰掉。而且沃通自己网站上都放弃自己的签名了。
    jasontse
        43
    jasontse  
       2016-10-02 09:41:28 +08:00 via iPad
    @ehs2013 喷子看个标题就兴高采烈来喷,别秀你的无知

    已 Block
    sinxccc
        44
    sinxccc  
       2016-10-02 10:21:30 +08:00
    @BXIA Chrome 的 bug , beta 版上已经修好了,正式版等下一次更新就修正了吧。
    breeswish
        45
    breeswish  
       2016-10-02 10:44:29 +08:00   ❤️ 2
    @jasontse 是你自己只看标题了吧。不要老被记者带沟里去,记者不仅没报道所有的事实,而且还报道错误了 :P

    以下陈列事实:

    1. 是 Symantec 主动要求移除该证书的:原文 “ We are taking this action in response to a notification by Symantec Corporation that, as of December 1, 2015, Symantec has decided that this root will no longer comply with the CA/Browser Forum ’ s Baseline Requirements ”

    2. 对于该根证书被移除, Symantec 表示完全没有受到任何影响:原文 “ Symantec has indicated that they do not believe their customers, who are the operators of secure websites, will be affected by this removal ”

    3. Symantec 本来就已经废弃该证书了: https://www.symantec.com/theme/roots “ It is intended to be the primary root used for these products until Q4 2010 when VeriSign transitions to using a 2048 bit root ”

    4. Symantec 在 2015 年 10 月签发的一系列假证书不是使用这个 CA 签发的,证据如下:

    4.1) 假证书在这里 https://censys.io/certificates/0d90cd8e35209b4cefebdd62b644bed8eb55c74dddff26e75caf8ae70491f0bd ,是 EV 证书, CN 是 google.com ,有效期 1 天, issuer 是 thawte EV SSL CA - G3 ,与英文报道一致

    4.2) thawte EV SSL CA - G3 仍然是可信的: https://censys.io/certificates/1a99019f9d412a64454749edaa8e7dc46673d644df3ce15cc655735ea0df86fe

    4.3) thawte EV SSL CA - G3 的签发者是 thawte Primary Root CA : https://censys.io/certificates/8d722f81a9c113c0791df136a2966db26c950a971db46b4199f4ea54b78bfb9f ,并不是 12 月报道中被移除的 Class 3 Public Primary Certification Authority

    5. 假证书是被按照 serial number 吊销的,并不是签发测试证书的 CA 被吊销: https://crt.sh/?id=9314698

    结论:

    1. 测试证书不是 Class 3 Public Primary Certification Authority 签发的

    2. 没有证据表明 Class 3 Public Primary Certification Authority 的吊销和测试证书事件有关系

    3. 测试证书是 thawte EV SSL CA - G3 签发的

    4. thawte EV SSL CA - G3 目前仍然被信任活得好好的

    我就来打脸这句话「证书颁发流程出了问题就算你是 Symantec 也照样 ban ,一家 CA 最重要的就是信用和可靠。 」
    Technetiumer
        46
    Technetiumer  
       2016-10-02 13:12:58 +08:00
    哪天 lets encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵

    comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵
    Showfom
        47
    Showfom  
       2016-10-02 14:02:06 +08:00 via Android
    @Technetiumer 我试过 他们还没傻逼到给泛域名的地步
    ZE3kr
        48
    ZE3kr  
       2016-10-02 14:10:43 +08:00 via iPhone
    @cocochan 我不觉得 sb 的证书有什么问题。域名注册商应该就不允许用户去注册 www.sb 这样的域名
    Technetiumer
        49
    Technetiumer  
       2016-10-02 15:10:08 +08:00
    @ZE3kr
    @Showfom

    有个问题,比如 to./ 这样的域名 应该 www.to 是 to./ 的, www.to 是个二级域名
    还是 www.to 是个域名主体 有 www.www.to 这个二级域名

    乱套了。。。。
    Showfom
        50
    Showfom  
       2016-10-02 17:33:04 +08:00 via Android
    @Technetiumer 不是的 你想多了 按照你这么说所有 .to 域名都是 to./ 的一个目录啊
    namebus
        51
    namebus  
       2016-10-07 23:28:53 +08:00
    @ZE3kr Lets Encrypt 也给 www.sb 发了证书( https://crt.sh/?id=34964374 ), SANs 只有一个 www.sb , Comodo 给 www.sb 发的证书( https://crt.sh/?id=34242572 ), SANs 里除了 www.sb 外,还有一个不应该存在的 sb 在,这才是错颁发的问题,看上去像是一个内网主机名( CAB Forum 的 BR 好像也不允许内网主机名了),实际是被 Comodo 当作去除 www 的主域了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5427 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 06:51 · PVG 14:51 · LAX 22:51 · JFK 01:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.