V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Vizogood
V2EX  ›  问与答

苹果到现在也没把 CNNIC 证书去掉吗?

  •  
  •   Vizogood · 2017-02-28 21:20:19 +08:00 · 2233 次点击
    这是一个创建于 2820 天前的主题,其中的信息可能已经有所发展或是发生改变。
    • 刚才在看苹果的 ios10 信任证书列表.
    • 发现里面还是有 CNNIC 签发的证书.
    • 不知道该说什么好....

    https://ooo.0o0.ooo/2017/02/28/58b57855ece08.png

    14 条回复    2017-03-01 15:03:25 +08:00
    J0022ZjV7055oN64
        1
    J0022ZjV7055oN64  
       2017-02-28 21:37:33 +08:00   ❤️ 1
    echo1937
        2
    echo1937  
       2017-02-28 21:53:51 +08:00
    已经手动禁止,印象里黄易有几个站点用了这家的证书
    580a388da131
        3
    580a388da131  
       2017-02-28 21:57:37 +08:00
    证书颁发机构 CNNIC 错误签发了一个中间证书。

    这是为数不多强调这一点的,赞一个
    大量私人博客几乎不见这条

    所以,到现在我还没拉黑,让操作系统自己弄去吧
    Vizogood
        4
    Vizogood  
    OP
       2017-02-28 23:16:11 +08:00 via iPhone
    @580a388da131 酱紫,苹果真是给足了面子.
    私人博客不提错误二字是因为 CNNIC 之前也出现过类似的事件( Github MITM Gamil MITM outlookMITM ),而且如果站在一个技术角度来看,这种攻击原因是很明显能分析到的也是所有安全公司公认的
    错误签发这次确实是拿到了数字签名本体所以才出来承认错误……你选择不拉黑,各有各的选择吧
    squid157
        5
    squid157  
       2017-02-28 23:47:08 +08:00 via Android
    @Vizogood 这些 MITM 是用 CNNIC 的证书签的么?我感觉不太可能。
    RqPS6rhmP3Nyn3Tm
        6
    RqPS6rhmP3Nyn3Tm  
       2017-03-01 05:00:36 +08:00 via iPhone
    @Vizogood outlook 那次事件我经历过,证书报错。如果是 cnnic 签发的应该不会报错(那时候还在信任列表里
    Vizogood
        7
    Vizogood  
    OP
       2017-03-01 07:19:30 +08:00 via iPhone
    @squid157 骨干网上 MITM 的能力只有某人能做到......细节不能讨论太多,你可以看看相关技术资料...
    Vizogood
        8
    Vizogood  
    OP
       2017-03-01 07:20:15 +08:00 via iPhone
    @BXIA 你经历的不是那个.....
    RqPS6rhmP3Nyn3Tm
        9
    RqPS6rhmP3Nyn3Tm  
       2017-03-01 07:56:58 +08:00 via iPhone
    @Vizogood 你说的是哪次?
    peinhu
        10
    peinhu  
       2017-03-01 09:31:25 +08:00
    禁用 CNNIC 、 WoSign 、 StartCom 这三个的证书是不是就安全了?
    Vizogood
        11
    Vizogood  
    OP
       2017-03-01 10:53:20 +08:00
    不知道你经历的是第一次还是第二次?
    squid157
        12
    squid157  
       2017-03-01 13:07:36 +08:00 via Android
    @Vizogood MITM 用的自签名证书。 CNNIC 不可能蠢到用自己的证书签。你对 PKI 体系不理解,那种规模的 MITM 是需要在出口操作,但用的证书并非由 CNNIC 签发。
    Vizogood
        13
    Vizogood  
    OP
       2017-03-01 14:33:35 +08:00
    @squid157 https://ooo.0o0.ooo/2017/03/01/58b66afbb322a.png 有些事情咱们互相看看资料好吧? 在这里讨论太多并不合适.
    squid157
        14
    squid157  
       2017-03-01 15:03:25 +08:00 via iPhone
    @Vizogood 那实际上咱们看到的事实是一样的,只是做出的判断不一样。你怀疑 CNNIC 也是有理有据的,毕竟中国另外一家证书机构( WoSign )做了非常严重的违规操作而被剔除了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4989 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.