Apple blocked trust for WoSign CA Free SSL Certificate G2
manhan9100 · 2016-10-01 18:15:06 +08:00 · 5676 次点击这是一个创建于 2967 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
nvidiaAMD980X 2016-10-01 18:32:24 +08:00 via Android
Apple 终于有所动作了,可惜力度不大,
StartCom 已经和 Wosign 是一家的了……… 应该把 StartCom 的三个 CA 也拉黑! |
 |
2
ldbC5uTBj11yaeh5 2016-10-01 18:33:25 +08:00 via Android
🍎💊,库克看来铁了心要退出中国。
|
 |
3
yexm0 2016-10-01 18:51:55 +08:00 via Android  1
希望微软也跟上。
|
 |
4
wql 2016-10-01 18:56:53 +08:00
@nvidiaAMD980X 目前看来暂时不会禁止 StartCom 。这次在苹果看来只是禁止了 StartCom 下面一个中级 CA 叫 WoSign CA Free SSL Certificate G2 在 9 月 19 日前签出的证书。
|
|
5
nvidiaAMD980X 2016-10-01 18:57:31 +08:00 via Android
|
 |
6
EricCartman 2016-10-01 19:01:38 +08:00 via Android
@jigloo 苹果连中华民国国旗的 Emoji 都屏蔽,怎么可能不心向党国
|
 |
7
Quaintjade 2016-10-01 19:04:09 +08:00
@wql 是禁了 9 月 19 日以后签发出的证书。 9 月 19 日及之前签发的证书仍有效直到过期。
|
|
8
ldbC5uTBj11yaeh5 2016-10-01 19:10:20 +08:00 via Android
之前 cnnic 的时候,苹果的态度很暧昧和迟疑。最终还是犹抱琵琶半遮面的偷偷拉黑了。
这次如此积极和高调,而且比上次算的上重手。我闻到了一丝铁幕降临的味道。 |
 |
9
ehs2013 2016-10-01 19:10:30 +08:00
免费证书出了问题就封掉。其他签发的出了问题再处理就可以嘛
|
 |
10
jasontse 2016-10-01 19:36:06 +08:00 via iPad
|
 |
11
rrfeng 2016-10-01 20:02:19 +08:00
我们是 WoSign Class 3 OV Server CA G2 的
好可怕……得赶紧换 |
 |
12
AirSc 2016-10-01 20:31:18 +08:00
来翻译一遍:
Apple 屏蔽 WoSign CA Free SSL Certificate G2 ( CA 沃通免费 SSL 证书) CA 沃通的中级证书 WoSign CA Free SSL Certificate G2 目前在发放证书过程中遇到了许多控制权验证的问题。尽管在 Apple 的根证书信任列表中没有沃通根证书,但是其与 StartCom 和 Comodo 建立了交叉签名的关系。鉴于这些发现,我们在即将到来的安全更新中将采取措施来保护我们用户的安全。 Apple 的产品将不再信任 WoSign CA Free SSL Certificate G2 颁发的证书。 为避免影响现有的沃通证书持有者,我们将会给他们一段时间以过渡到那些受信任的 CA 。 Apple 产品将继续信任那些在 2016-09-19 前从这个中级 CA 获得的证书以及公开 Certificate Transparency (证书透明度)的人。除非证书过期,被吊销,或经过 Apple 的考虑进行吊销,这些人依旧能够继续使用他们的证书。 目前调查仍在继续,如果需要,我们将会在 Apple 产品中对 WoSign/StartCom 采取进一部措施,以保护我们的用户。 via. https://www.airscr.com/archives/1769.html |
 |
13
seki 2016-10-01 20:33:33 +08:00
想问一下这个是不是需要安装更新,还是说会另外(静默)推送给用户?
|
|
14
nvidiaAMD980X 2016-10-01 20:41:30 +08:00 via Android
我觉得 Apple 应该放开根证书的变动权限,效仿 Android ,可以让用户自动选择是否拉黑证书,
若是如此,用户可以第一时间得到安全保障,也可以促成由“下对上”的监控,让 CA 证书的颁发者不敢作恶。 |
|
15
nvidiaAMD980X 2016-10-01 20:42:30 +08:00 via Android
@seki 估计是 iOS10.0.3
|
|
16
ehs2013 2016-10-01 21:07:57 +08:00
@jasontse 我看他也是把出问题的 ban 掉了啊, Symantec 的 VeriSign 根证书也没吊销啊。你这自打脸打的真棒
|
 |
17
Cavolo 2016-10-01 21:41:51 +08:00 via iPhone
iOS 的证书更新必须依赖 iOS 版本更新这个问题很大啊
|
|
18
Cavolo 2016-10-01 21:43:41 +08:00 via iPhone
@jigloo 没有啊, https://support.apple.com/en-us/HT207177 最新 iOS10 里面依然包括 cnnic 证书
|
|
19
ldbC5uTBj11yaeh5 2016-10-01 21:46:52 +08:00
|
|
20
seki 2016-10-01 22:09:22 +08:00
@ehs2013 这和免不免费没关系。 symantec 这个事件是有记录可查的,谁签的,怎么签的,有没有泄漏,影响范围有多大都能确认。而 wosign 完全做不到这一点。
要类比的话可以看 DigiNotar ,被黑客黑了之后直接破产 |
|
21
nvidiaAMD980X 2016-10-01 22:14:45 +08:00 via Android
@Cavolo 我在 iOS9 和 iOS10 中的信任证书列表中根本没看到 CNNIC 的啊! C 开头的可信证书中没有 CNNIC …………
|
 |
22
cocochan 2016-10-01 22:24:14 +08:00 via iPhone
@nvidiaAMD980X 拉黑也没用, Comodo StartCom Wosign 互相有交叉密钥。
换句话说, Comodo 还被信任他就是被信任的。 最后仅代表个人观点,与我公司无关:被害妄想症 |
|
23
Cavolo 2016-10-01 22:34:07 +08:00 via iPhone
@nvidiaAMD980X 直接搜索 cnnic
|
|
24
nvidiaAMD980X 2016-10-01 22:42:13 +08:00 via Android
@cocochan 这我知道,但 Comodo 的影响力也是很大的,之前 V2 的 HTTPS 用的就是 Comodo 旗下的品牌…………所以我认为是否信任或拉黑某 CA 证书,用户应该具有优先权,例如 Android 就做得很高,既然用户信任某 CA ,用户就应该承担相应的风险。
但是 iOS 更新的滞后性,导致对于危机的应变能力不足。不肯开发相应权限给用户,是否与 iOS 安全性的初衷相违背? |
|
25
nvidiaAMD980X 2016-10-01 22:54:17 +08:00 via Android
@Cavolo 怎么搜索?
我又仔细看了 iOS10 的 CA 列表, CNNIC 的 CA 只出现在 Blocked certificates 的列表中, trusted certificates 列表中没有啊! |
 |
26
shierji 2016-10-01 23:01:09 +08:00 via Android
妈蛋 我的证书被禁了啊 换 le 去……
|
|
27
cocochan 2016-10-01 23:10:53 +08:00 via iPhone 1
@nvidiaAMD980X 你要拉黑 Wosign 貌似得拉黑 Comodo StartCom Wosign 这三家才可以,然后就 80%的网站 SSL 错误了 :)
我觉得苹果肯定有自己的标准,不是 xxx 封了我也封,都是得按照规章制度办事的。 Google 不也还没封他吗? 再说了 Moz 的裁决我认为是不公正带有政治色彩因素在里面的,你看看 Comodo 给 Showfom 签发的那个域名就知道严重性是有多大了。远远超出日期倒填,有子域名可以获取根域名这些问题。 |
|
28
ldbC5uTBj11yaeh5 2016-10-01 23:17:18 +08:00
@cocochan 嗯,我也持类似观点。当前党国阔气的时候,一手挟市场已令诸侯一手撒币利益输送,各大豪强巨头无不俯首帖耳。
如今党国微露败象,这帮白眼狼撤资的撤资,制裁的制裁。真是令人扼腕叹息! 从《北京折叠》获得雨果奖开始,我就闻到中西又要开始意识形态的对抗了,铁幕初露峥嵘。。。 |
|
29
yexm0 2016-10-01 23:22:11 +08:00
|
|
30
nvidiaAMD980X 2016-10-01 23:29:35 +08:00 via Android
@cocochan 本人在 StartSSL 和 360 合作的传闻出现后,立即拉黑 StartCom 和 Wosign CA ,我也想把 Comodo 旗下和 Wosign 签交叉的品牌一同拉黑,但无奈地发现,很多科技类网站都在使用 Comodo 的 CA ,令我无法下手………所以只能彻底拉黑 StartCom 和 Wosign 的 CA ,放着 Comodo 不管…………
另外,我目前迫切想知道的是 iOS10 的 trusted certificates list 中到底还有没有 CNNIC ?难道只有我看不见吗! |
|
31
nvidiaAMD980X 2016-10-01 23:40:27 +08:00 via Android
@jigloo 为什么我觉得《北京折叠》这本书写得太好了,难得有一本大陆小说能与美日科幻小说相媲美?比那个什么《三体》写得好多了,我看过《三体》后,发现它的质量再不断下滑…………而《北京折叠》才是真正的杰作。
|
|
32
ldbC5uTBj11yaeh5 2016-10-01 23:43:57 +08:00
@nvidiaAMD980X 好是好,但是不符合社会主义价值观,所以它“不应该”获得雨果奖。凭着党国的“大外宣”系统的实力,有一百种方法阻止这个事情的发生。
偏偏发生了,所以我才声称铁幕在徐徐降临,这次的 mozilla/apple 拉黑沃通也勉强算是一个佐证吧。 |
|
34
nvidiaAMD980X 2016-10-01 23:46:20 +08:00 via Android
我目前迫切想知道的是 iOS10 的 trusted certificates list 中到底还有没有 CNNIC ?难道只有我看不见吗!
|
|
35
cocochan 2016-10-01 23:52:42 +08:00 via iPhone
|
 |
38
RqPS6rhmP3Nyn3Tm 2016-10-02 02:58:02 +08:00
@cocochan comodo 签了 *.sb 的证书?太可怕了吧
|
|
39
RqPS6rhmP3Nyn3Tm 2016-10-02 03:01:36 +08:00
|
 |
40
irainsoft 2016-10-02 04:46:50 +08:00
刚才上 Wosign 官网绕了一圈,免费证书申请入口关闭了
|
 |
41
take 2016-10-02 05:48:33 +08:00 via Android
@BXIA 并不是 “*.sb ” 的泛域名证书,只有 “ sb ” 能通过验证
http://buta.moe/showfom-made-comodo-issued-certificate-for-top-level-domain-sb/ |
 |
42
yidinghe 2016-10-02 05:54:24 +08:00 via Android
真是普天同庆,不安全的证书颁发机构就该早些淘汰掉。而且沃通自己网站上都放弃自己的签名了。
|
 |
45
breeswish 2016-10-02 10:44:29 +08:00 2
@jasontse 是你自己只看标题了吧。不要老被记者带沟里去,记者不仅没报道所有的事实,而且还报道错误了 :P
以下陈列事实: 1. 是 Symantec 主动要求移除该证书的:原文 “ We are taking this action in response to a notification by Symantec Corporation that, as of December 1, 2015, Symantec has decided that this root will no longer comply with the CA/Browser Forum ’ s Baseline Requirements ” 2. 对于该根证书被移除, Symantec 表示完全没有受到任何影响:原文 “ Symantec has indicated that they do not believe their customers, who are the operators of secure websites, will be affected by this removal ” 3. Symantec 本来就已经废弃该证书了: https://www.symantec.com/theme/roots “ It is intended to be the primary root used for these products until Q4 2010 when VeriSign transitions to using a 2048 bit root ” 4. Symantec 在 2015 年 10 月签发的一系列假证书不是使用这个 CA 签发的,证据如下: 4.1) 假证书在这里 https://censys.io/certificates/0d90cd8e35209b4cefebdd62b644bed8eb55c74dddff26e75caf8ae70491f0bd ,是 EV 证书, CN 是 google.com ,有效期 1 天, issuer 是 thawte EV SSL CA - G3 ,与英文报道一致 4.2) thawte EV SSL CA - G3 仍然是可信的: https://censys.io/certificates/1a99019f9d412a64454749edaa8e7dc46673d644df3ce15cc655735ea0df86fe 4.3) thawte EV SSL CA - G3 的签发者是 thawte Primary Root CA : https://censys.io/certificates/8d722f81a9c113c0791df136a2966db26c950a971db46b4199f4ea54b78bfb9f ,并不是 12 月报道中被移除的 Class 3 Public Primary Certification Authority 5. 假证书是被按照 serial number 吊销的,并不是签发测试证书的 CA 被吊销: https://crt.sh/?id=9314698 结论: 1. 测试证书不是 Class 3 Public Primary Certification Authority 签发的 2. 没有证据表明 Class 3 Public Primary Certification Authority 的吊销和测试证书事件有关系 3. 测试证书是 thawte EV SSL CA - G3 签发的 4. thawte EV SSL CA - G3 目前仍然被信任活得好好的 我就来打脸这句话「证书颁发流程出了问题就算你是 Symantec 也照样 ban ,一家 CA 最重要的就是信用和可靠。 」 |
 |
46
Technetiumer 2016-10-02 13:12:58 +08:00
哪天 lets encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵
comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵 |
 |
47
Showfom 2016-10-02 14:02:06 +08:00 via Android
@Technetiumer 我试过 他们还没傻逼到给泛域名的地步
|
 |
48
ZE3kr 2016-10-02 14:10:43 +08:00 via iPhone
|
|
49
Technetiumer 2016-10-02 15:10:08 +08:00
|
|
50
Showfom 2016-10-02 17:33:04 +08:00 via Android
@Technetiumer 不是的 你想多了 按照你这么说所有 .to 域名都是 to./ 的一个目录啊
|
 |
51
namebus 2016-10-07 23:28:53 +08:00
@ZE3kr Lets Encrypt 也给 www.sb 发了证书( https://crt.sh/?id=34964374 ), SANs 只有一个 www.sb , Comodo 给 www.sb 发的证书( https://crt.sh/?id=34242572 ), SANs 里除了 www.sb 外,还有一个不应该存在的 sb 在,这才是错颁发的问题,看上去像是一个内网主机名( CAB Forum 的 BR 好像也不允许内网主机名了),实际是被 Comodo 当作去除 www 的主域了。
|
Select Language