V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
814517669
V2EX  ›  SSL

关于@xoxo 家的 ssl 证书

  •  
  •   814517669 · 2015-03-21 21:05:02 +08:00 · 22951 次点击
    这是一个创建于 3517 天前的主题,其中的信息可能已经有所发展或是发生改变。

    貌似好多在他那买的五年通配都被吊销了,且这货已经一个多月没出现了
    那家淘宝店铺也已经全部下架
    而且他的网站https://www.sslcertificate.cn/ 竟然改用了沃通的证书
    综上所述,此人跑路
    顺便求一家不坑的通配证书商...

    第 1 条附言  ·  2015-03-21 21:57:39 +08:00
    我们...需要维权吗?
    如果真的报警,咱们买的从某种角度讲也算是赃物啊。
    不了解这些,反正如果有维权的,算我一个~
    第 2 条附言  ·  2015-03-22 20:54:27 +08:00
    https://www.sslcertificate.cn/ 疑似被攻击
    证书指向 canglaoshi.me
    嗯,就这样
    150 条回复    2017-05-18 08:30:06 +08:00
    1  2  
    Tink
        1
    Tink  
       2015-03-21 21:07:10 +08:00
    额?吊销了?我去不是吧
    wwqgtxx
        2
    wwqgtxx  
       2015-03-21 21:17:35 +08:00 via Android
    他的根证书过期了吧
    liuhaotian
        3
    liuhaotian  
       2015-03-21 21:20:16 +08:00
    我的也显示被吊销了...
    @xoxo

    现在暂时使用StartSSL TLS/Wosign 多域名
    Yamade
        4
    Yamade  
       2015-03-21 21:22:39 +08:00
    欢迎查看我之前的帖子.
    wy315700
        5
    wy315700  
       2015-03-21 21:30:52 +08:00   ❤️ 1
    估计是拿私钥干坏事被发现了吧,
    bitwing
        6
    bitwing  
       2015-03-21 21:33:44 +08:00
    当初觉得可疑就没入,咱推荐 @phoenixlzx 家的 https://c.phoenixlzx.com/
    好像 @AstroProfundis 也有
    nsxuan
        7
    nsxuan  
       2015-03-21 21:35:25 +08:00 via Android
    发现在v2ex买东西都很不靠谱
    squid157
        8
    squid157  
       2015-03-21 21:42:27 +08:00 via iPhone
    忽然发现被吊销了……贪便宜果然作大死
    squid157
        9
    squid157  
       2015-03-21 21:43:07 +08:00 via iPhone
    @squid157 不知道我现在去淘宝投诉有用没有,哈哈哈哈哈。

    我已经认栽了
    fu82581983
        10
    fu82581983  
       2015-03-21 21:45:01 +08:00
    @nsxuan livid本身就不建议在社区里类似的交易,以前说过vps 后来的vpn shadowsocks,到现在的ssl证书,还是建议到正规的大卖家或者公司去买东西,切记不要贪图小便宜。
    wzxjohn
        11
    wzxjohn  
       2015-03-21 21:46:36 +08:00
    哦!果然被吊销了。。。这。。。蛋疼了。。。
    lhbc
        12
    lhbc  
       2015-03-21 21:51:15 +08:00
    我的也被吊销了
    批量吊销,这可以定义为诈骗了
    统计域名数和总金额,报警?
    leemw
        13
    leemw  
       2015-03-21 21:52:27 +08:00
    靠谱的东西还是直接在官网买吧
    belin520
        14
    belin520  
       2015-03-21 21:53:07 +08:00
    @liuhaotian
    @lhbc
    哦,怎么看是不是吊销了?还没开始用呢
    wy315700
        15
    wy315700  
       2015-03-21 21:53:23 +08:00
    为了安全就别贪小便宜。

    左边是安全,右边是价格。
    liuhaotian
        16
    liuhaotian  
       2015-03-21 21:53:50 +08:00
    @belin520 开个浏览器,吊销了浏览器会告诉你
    blacktulip
        17
    blacktulip  
       2015-03-21 21:54:32 +08:00
    lol 当时我就问都懒得问
    bugmenott
        18
    bugmenott  
       2015-03-21 21:56:27 +08:00
    belin520
        19
    belin520  
       2015-03-21 21:58:46 +08:00
    @liuhaotian 原来如此,我test的域名显示还是OK的,不过看来也快了
    因为道听途说说上次签发的1024张5年通配来路有点问题,不过只是听说,不对真实性负责
    anyliz
        20
    anyliz  
       2015-03-21 21:59:01 +08:00
    我两个域名安全证书,不到一月都被吊销了,现在重签,不知道啥时候再被吊
    phoenixlzx
        21
    phoenixlzx  
       2015-03-21 22:00:56 +08:00
    @bitwing 谢 mention

    咱和 @AstroProfundis 都是 GoGetSSL 的代理,咱目前是 Platinum,不知道蘑菇家如何了。反正价格大差不差...

    另外因为有 SingleHop 的主机 所以可以签 AlphaSSL 的野卡。目前暂定每张 100 元补贴下服务器费,到期可重签。开源项目/组织可以免费签。

    另外就是... 最近大概会搬去和别人合作... 嗯... 什么的。
    kingwkb
        22
    kingwkb  
       2015-03-21 22:06:16 +08:00 via iPhone
    额,我刚买的也被吊销,淘宝正在维权,已申请淘宝介入,等待处理
    Tink
        23
    Tink  
       2015-03-21 22:29:27 +08:00
    。。。。。。崩了
    scys
        24
    scys  
       2015-03-21 22:36:39 +08:00
    好在没有给公司介绍。。。
    mikangchan
        25
    mikangchan  
       2015-03-21 22:43:26 +08:00
    @phoenixlzx 给凤凰菊苣点赞
    凤凰菊苣家的都超实惠!
    sdysj
        26
    sdysj  
       2015-03-21 22:44:18 +08:00
    哈,水真深,俺的还没吊销呢?
    xierch
        27
    xierch  
       2015-03-21 22:45:25 +08:00
    能撑到 Let's Encrypt 就好了..

    @phoenixlzx 野卡 100 元一年?
    phoenixlzx
        28
    phoenixlzx  
       2015-03-21 22:48:23 +08:00
    @xierch 嗯,目前暂定是这样的。
    dugrey
        29
    dugrey  
       2015-03-21 22:48:46 +08:00
    水真他妈深
    mornlight
        30
    mornlight  
       2015-03-21 22:57:19 +08:00
    差点买了...
    不过后来正好碰到 Showfom 送了个野卡
    ooxxcc
        31
    ooxxcc  
       2015-03-21 22:59:18 +08:00
    我擦……抓进去看了一下,自己的暂时还没事……
    roychan
        32
    roychan  
       2015-03-21 22:59:22 +08:00
    吊销了卧槽= =
    ooxxcc
        33
    ooxxcc  
       2015-03-21 22:59:35 +08:00
    抓进->抓紧
    aveline
        34
    aveline  
       2015-03-21 23:07:51 +08:00   ❤️ 3
    不过其实你们不知道 @xoxo 就是原来 hostloc 的 @enj0y 么,就是蓝剑波啦。
    嘛我还以为他从良了然后还推荐给了原来公司的老大,幸好他没买 ... 不然我就死的惨了233

    之前的事儿可以参考 https://www.v2ex.com/t/78956
    AstroProfundis
        35
    AstroProfundis  
       2015-03-21 23:15:29 +08:00
    @bitwing
    @phoenixlzx 我是最初级的reseller, 因为一年也签不出去几张所以没搞那么高_(:зゝ∠)_
    xenme
        36
    xenme  
       2015-03-21 23:24:49 +08:00
    我刚检查了下我的暂时还没有被吊销。
    你们是不是用他网站生成的key和CSR啊?
    squid157
        37
    squid157  
       2015-03-21 23:29:03 +08:00
    @xenme 不是。自己生成key和CSR,目前是吊销了。
    welsmann
        38
    welsmann  
       2015-03-21 23:36:50 +08:00
    xenme
        39
    xenme  
       2015-03-21 23:51:33 +08:00
    @welsmann 我的中级证书是AlphaSSL.
    我浏览器打开还是现实正常,但是ssllabs测试你的却是被吊销了。
    我的目前还没有问题,感觉也快了,哎~
    roychan
        40
    roychan  
       2015-03-21 23:55:04 +08:00
    @phoenixlzx 求问野卡是什么意思。。
    belin520
        41
    belin520  
       2015-03-21 23:56:07 +08:00
    被吊销的是不是中级证书是 *ssl.so 的?
    好像目前中级证书是AlphaSSL.还正常
    squid157
        42
    squid157  
       2015-03-22 00:07:15 +08:00
    @belin520 我的是AlphaSSL的中级证书,现在也是吊销了。
    hotsnow
        43
    hotsnow  
       2015-03-22 00:10:46 +08:00
    @roychan WildCard
    welsmann
        44
    welsmann  
       2015-03-22 00:11:07 +08:00
    @xenme 这不是我的域名,这是 @xxoo 之前拿来卖ssl证书的域名...
    welsmann
        45
    welsmann  
       2015-03-22 00:11:43 +08:00
    @xenme 错了,是 @xoxo
    est
        46
    est  
       2015-03-22 00:18:04 +08:00
    我也中招了。。。。。。。。。

    莫非 @xoxo 是盗的AlphaSSL某I/II级经销商私钥出来,签了一大堆网站然后被发现了?

    妥妥的要进局子。
    Quaintjade
        47
    Quaintjade  
       2015-03-22 00:35:24 +08:00 via Android
    根据GlobalSign的客服提供的一些信息,大致推测是Globalsign或某代理的billing系统有Bug,被 @xoxo 利用免费签发证书,然后这个bug最近才被发现,吊销了该reseller账号申请的所有证书。
    Quaintjade
        48
    Quaintjade  
       2015-03-22 00:42:55 +08:00 via Android   ❤️ 1
    To楼主的附言,即便是赃物,善意第三方购买后,原失主无权向善意第三方追索。
    只不过证书可以被CA吊销,相当于原失主从善意第三方手中强行夺回了。

    不过因为是跨国的事件(据GlobalSign说不付款签发的账号是欧洲的,当然也有可能那个账号就是xoxo随便乱填的),外加除后来的淘宝途径以外都是支付宝或比特币直接转账,所以维权希望渺茫。
    seki
        49
    seki  
       2015-03-22 01:08:23 +08:00
    可能是买得晚的原因,我的目前还没有,持续关注一下
    seki
        50
    seki  
       2015-03-22 01:13:25 +08:00
    刚刚拿 firefox 和 IE 看了一下,看来的确是被注销了,看来是交了一笔学费了
    046569
        51
    046569  
       2015-03-22 01:41:39 +08:00
    @aveline
    如何得知的?
    MaiCong
        52
    MaiCong  
       2015-03-22 01:55:54 +08:00
    我的5年期限那个也被吊销了,一年那个倒是还没有,都是AlphaSSL
    caola
        53
    caola  
       2015-03-22 02:24:19 +08:00
    我的目前还是正常,不知道还能撑多久,我估计也快了……唉,就当是交学费吧!
    aveline
        54
    aveline  
       2015-03-22 02:36:48 +08:00
    @046569 你们难道都不知道么 .................................
    vibbow
        55
    vibbow  
       2015-03-22 02:45:46 +08:00
    淘宝买的2年的StartCom的wildcard证书无压力~
    11
        56
    11  
       2015-03-22 02:46:06 +08:00
    @aveline 不知道啊。。快说说。。
    yangqi
        57
    yangqi  
       2015-03-22 02:55:15 +08:00
    浏览器显示的还是绿色,但是看证书详情显示已被吊销了。。。
    SharkIng
        58
    SharkIng  
       2015-03-22 03:42:22 +08:00
    我的暂时还可以,吊销的事实从什么时候开始的?
    xenme
        59
    xenme  
       2015-03-22 04:03:51 +08:00 via iPhone
    @SharkIng 看到有的证书在二月就已经被吊销了。
    yfdyh000
        60
    yfdyh000  
       2015-03-22 04:04:31 +08:00
    @SharkIng
    http://crl.globalsign.com/gs/gsdomainvalsha2g2.crl 中,*.ssl.so 证书的‎序列号 11 21 3a 87 d1 c7 28 1e 0e fd 6a 09 cf 00 56 5a dd 80 在‎ 2015‎年‎3‎月‎17‎日 23:13:36 被吊销。其余可自查序列号。
    yangqi
        61
    yangqi  
       2015-03-22 04:41:28 +08:00
    买过两个,貌似去年10月买得还没被吊销,12月买得被吊销了,都是5年泛域名AlphaSSL的
    SharkIng
        62
    SharkIng  
       2015-03-22 04:43:35 +08:00
    @yfdyh000 谢谢

    我当时就觉得他们证书有问题,但是还是贪图便宜的买了一个试试,没想到没多久就出这事
    我也是GlobalSign的代理但是我的价格比他的高出了好几倍,即使他是顶级代理也不应该能拿到那么便宜的价格啊
    tumutanzi
        63
    tumutanzi  
       2015-03-22 05:25:41 +08:00
    买个便宜的证书也是十来美元一年的事,用什么免费的吗?何况还是某国人的免费货。
    imnpc
        64
    imnpc  
       2015-03-22 05:40:56 +08:00
    我的10月份的暂时没有吊销...
    geekzu
        65
    geekzu  
       2015-03-22 07:51:12 +08:00 via Android
    @MaiCong 开路不同,一年期应该是siglehop独服签发
    geekzu
        66
    geekzu  
       2015-03-22 07:52:16 +08:00 via Android
    淘宝买的不是xoxo卖的,是他的一个代理商。。估计也是被坑了。。
    wbbim
        67
    wbbim  
       2015-03-22 08:48:06 +08:00 via iPhone
    @phoenixlzx
    什么是野卡?
    orzfly
        68
    orzfly  
       2015-03-22 08:54:18 +08:00
    @wbbim wildcard => wild card => 野 卡 => 野卡……
    geeklian
        69
    geeklian  
       2015-03-22 09:04:28 +08:00 via iPhone
    B格甚高wosign拉黑的V2EXer竟然会贪这种小便宜......
    Quaintjade
        70
    Quaintjade  
       2015-03-22 09:33:57 +08:00 via Android   ❤️ 1
    @geeklian
    意义不明。
    拉黑wosign和逼格有毛关系
    买xoxo证书和贪小便宜有毛关系?
    Actrace
        71
    Actrace  
       2015-03-22 09:55:38 +08:00
    让咱想起更早前的Auzre 每月200刀企业账号的事情。。。
    现在想想,几分钱几分货这条底线不能逾越~
    geeklian
        72
    geeklian  
       2015-03-22 10:02:26 +08:00
    @Quaintjade
    低于reseller售价30%也不证明自己是partner。
    几个域名,whois要么隐藏,要么假冒。
    面向歪果仁却却不支持paypal信用卡。
    连淘宝是第三方代理的,自己连淘宝的实名认证都不想通过。
    官方网站及任何消息管道都很注重自己的匿名,你没法从几个xoxo背后知道任何公司/个人信息,包括v2,hostloc,github,lowendtalk。

    以混v2ex的水平,稍微多留心下,上面的几点都能发现其中一二吧。
    想不到人家能hack了reseller system,也至少能感觉出来源不正常吧..

    这样买一个东西....不是贪小便宜难道是想验证下对方是不是真是骗子?

    orz...
    imlonghao
        73
    imlonghao  
       2015-03-22 10:05:21 +08:00 via Android
    庆幸自己忍住没买
    aaronlam
        74
    aaronlam  
       2015-03-22 10:42:02 +08:00
    个人资料里的 “签过的证书,比开过的房还多” 都不见了,喜闻乐见!
    死性不改,这样的人就该进牢子。
    Yamade
        75
    Yamade  
       2015-03-22 11:18:57 +08:00
    @phoenixlzx 注册那个安全码写啥啊?老是提示格式不对.
    Quaintjade
        76
    Quaintjade  
       2015-03-22 11:22:57 +08:00 via Android   ❤️ 2
    @geeklian
    低于reseller售价30%有什么问题?证书除了安全审计的支出和保险支出,每张证书的成本极低,低价完全不是怀疑的理由。

    本来就没面向外国人,那是别人传出去的,以及后来的下级代理。

    买vps或其他网购时又有几个人会去查卖家实名信息?
    Quaintjade
        77
    Quaintjade  
       2015-03-22 11:35:11 +08:00 via Android   ❤️ 2
    @geeklian
    你可以举出若干疑点,事后看看好像是可以得到印证的,但事前并不是决定性的反驳理由,只能说应该引起警觉。
    就我个人来说,会按可疑程度限制支出上限,也就是控制风险×概率。
    kn007
        78
    kn007  
       2015-03-22 11:37:18 +08:00
    我也是差点买了,话说他家注册帐号不会存储成明文密码吧。我擦
    SharkIng
        79
    SharkIng  
       2015-03-22 11:41:24 +08:00
    @Quaintjade 我理解@geeklian的意思,虽说证书成本很低,但是实际上能签发的就那么几家,那几家的代理商的价格即使是顶级,可能也达不到300元签五年的野卡,除非你说你是内部人员可能有更大折扣或者是你和他们有非常大的合作 (例如像WoSign和StartSSL的合作)

    或者你是土豪就愿意亏本卖,要么他成本价都不够的出售肯定是有问题的。
    geeklian
        80
    geeklian  
       2015-03-22 11:48:39 +08:00 via iPhone
    @Quaintjade 你这是强行狡辩了
    成本70,别人卖100,最低75,你卖30就是有问题..

    我不知道globalsign会抽成到底多少,有没有均价70%那么高,但比30%高是肯定的。
    O21
        81
    O21  
       2015-03-22 11:53:56 +08:00 via iPhone
    我就说一句 报警没用 国家的那帮人不懂这个

    而且是 谁举报 谁举证 证据难以收集

    所以各位 喷喷就行了
    deamwork
        82
    deamwork  
       2015-03-22 12:15:25 +08:00 via Android
    前不久他卖证书的网站就被黑了,好像是3.17那天吊销的证书-。-现在就坐等自己的被吊销-。-也算是交学费了-。-
    以前有一天上了一下ssl.so,人家的直接301到zf的官网了-。-看看自己
    作的一手好死
    咒死这种人渣
    phoenixlzx
        83
    phoenixlzx  
       2015-03-22 12:16:54 +08:00
    @Yamade 邀请注册的,暂时不开放下单注册。不过最近大概会开放...的样子。
    9yu
        84
    9yu  
       2015-03-22 12:17:50 +08:00
    5 年 AlphaSSL 的 wildcard 还没被吊销。
    Quaintjade
        85
    Quaintjade  
       2015-03-22 12:20:47 +08:00 via Android
    @geeklian
    以市价扣利润率(抽成)去推测成本只适用于充分竞争的商品,但证书体系本身就是个卡特尔,不适用这种算法。
    DV证书的可变成本就是极低的,卖10000元也是赚,买10元也是赚,所以才有不限量签发。如果能为其带来其他利益(例如拓展市场、打知名度),reseller price是可谈的。
    orvice
        86
    orvice  
       2015-03-22 12:24:02 +08:00
    @9yu 我的也还没被吊销,应该快了
    @geeklian 只能当交学费了。。。
    62900015
        87
    62900015  
       2015-03-22 12:35:04 +08:00
    我是代理商,签发了很多证书,倒血霉了,最近在挨个退款。
    mornlight
        88
    mornlight  
       2015-03-22 12:41:40 +08:00
    @tumutanzi Wildcard 从大网站买还是要不少银子的。。。
    mengzhuo
        89
    mengzhuo  
       2015-03-22 12:44:44 +08:00
    天啊
    幸好他们家不支持椭圆曲线加密所以我没买……
    imlonghao
        90
    imlonghao  
       2015-03-22 12:46:38 +08:00 via Android
    @62900015 拿自己的钱退?
    hotsnow
        91
    hotsnow  
       2015-03-22 13:12:37 +08:00
    这个证书的成本真不好说,话说,2014年1月丹麦的代理商搞活动,
    wildcard 5年 Alphassl,不到50元人民币,当时SHA256还没提上日程,因此是 SHA1 的,蛋疼。。。
    typcn
        92
    typcn  
       2015-03-22 14:10:06 +08:00
    @tumutanzi 5 年的 Wildcard 证书便宜的都是 500 美元左右的
    binux
        93
    binux  
       2015-03-22 14:17:36 +08:00
    反正我买的时候,就算被吊销也无所谓,维权成本比购买成本还高。
    matrix32767
        94
    matrix32767  
       2015-03-22 14:48:38 +08:00 via iPad
    @aveline
    就那个贾斯丁擦波(caboo)?
    62900015
        95
    62900015  
       2015-03-22 15:12:34 +08:00
    @imlonghao 那不然怎么办呢,他跑路容易,跑路工商要逮人啊。
    62900015
        96
    62900015  
       2015-03-22 15:19:10 +08:00
    https://docs.google.com/document/d/1OHukcnmzMK2gFY0BcAQkRO6NHw5b5oBDjKbjtAumoEM/edit 综合几个帖子,这是跑路的人简历大家看看呗。
    046569
        97
    046569  
       2015-03-22 15:22:28 +08:00
    @aveline
    不知道,只是觉得此人形迹可疑,各种玩匿名.
    但无法将 "它" 和 enj0y 联系起来.
    xuweidiy
        98
    xuweidiy  
       2015-03-22 15:33:05 +08:00
    我的也是当天吊销了,不过晚上找他又重新签发了。
    usernametoolong
        99
    usernametoolong  
       2015-03-22 15:42:38 +08:00
    @aveline @matrix32767
    这货不是caboo,据知情人士透露,这货前几年常混wordpress论坛然后转hostloc,再然后是因为啥事被封ID撵到v2ex这边来了。以前卖过空间,刷过各种手机充值漏洞(几块钱活动那种),另外还在aliyun那边搞了个插件获奖弄到了点钱得瑟了一段时间后没多久就消声灭迹改头换面了,再后来就不清楚了。


    擦波这货其实有两把刷子,后来不知道啥事,删除了所有认识的人消声灭迹了。 因为前面开发出售的一个nginx主机面板没善后归纳到跑路了。
    usernametoolong
        100
    usernametoolong  
       2015-03-22 16:05:44 +08:00
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5750 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 01:46 · PVG 09:46 · LAX 17:46 · JFK 20:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.