V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zander
V2EX  ›  SSL

国内政府/银行的网页有没有全站 SSL 的,谁知道?

  •  
  •   zander · 2017-04-23 19:43:37 +08:00 · 4865 次点击
    这是一个创建于 2800 天前的主题,其中的信息可能已经有所发展或是发生改变。

    突然有点好奇这个问题。美国政府好像说过所有政府网页要在 16 年底完成 HTTPS-only 的升级,不知道他们有没有搞定。

    中国各种网银的控件之路估计是要走到底了,真的太蠢了。

    24 条回复    2017-04-25 10:16:21 +08:00
    czc2004211
        1
    czc2004211  
       2017-04-23 19:46:20 +08:00 via Android
    银行没见过没有的
    just1
        2
    just1  
       2017-04-23 19:53:18 +08:00 via Android
    https-only 不可能的。
    毕竟你要照顾还在用 ie678 的老人们
    actto
        3
    actto  
       2017-04-23 20:18:46 +08:00 via Android
    不觉得控件更安全吗?
    zander
        4
    zander  
    OP
       2017-04-23 20:20:24 +08:00
    http://tongji.baidu.com/data/browser
    还好吧, IE6 我觉得是真的已经淘汰了。 IE7 / IE8 虽然还有一些不过也没多少人了。
    现在这么人用 Chromium ,说实话 360 等功不可没。
    zander
        5
    zander  
    OP
       2017-04-23 20:25:11 +08:00
    @actto 控件好像就是不需要密码留在内存里吧,也没什么特别的优点。
    akwIX
        6
    akwIX  
       2017-04-23 20:28:49 +08:00
    建行网银现在登录不需要控件挺好的
    ivmm
        7
    ivmm  
       2017-04-23 21:10:26 +08:00
    网络安全法马上就要实时了,你可以研究研究
    MrMario
        8
    MrMario  
       2017-04-23 21:26:17 +08:00 via iPhone
    @ivmm 网络安全法只是个指导意见,政府网站是强制实施等级保护制度的,所以具体落实还是要看等保有没有修改的意向
    Quaintjade
        9
    Quaintjade  
       2017-04-23 22:06:12 +08:00 via Android
    国内要推也是推自己的 CA 和国密算法,看看有多少电脑已经被 CFCA 全家桶驻扎了
    ivmm
        10
    ivmm  
       2017-04-23 22:25:36 +08:00
    @MrMario 可不是指导意见,是法律,几万几十万罚款的
    est
        11
    est  
       2017-04-23 22:28:14 +08:00
    https://bj.122.gov.cn/

    网站可用性也做得比较好
    billlee
        12
    billlee  
       2017-04-23 23:07:00 +08:00
    @Quaintjade #9 讲道理, CFCA 是有 WebTrust 审计的
    JJaicmkmy
        13
    JJaicmkmy  
       2017-04-23 23:37:35 +08:00
    银行大多数都是全站 SSL 的吧?
    Quaintjade
        14
    Quaintjade  
       2017-04-24 01:32:12 +08:00 via Android
    @billlee
    我并不怀疑 CFCA 的可靠性,毕竟金融是国家命脉。我只是想说我国会搞自己的一套,不会依赖西方主导的体系。

    至于 WebTrust ,只能说聊胜于无,沃通照样能通过审计。
    ryd994
        15
    ryd994  
       2017-04-24 02:03:00 +08:00 via Android
    @actto
    @zander
    美国这边银行没有要装控件的,全是普通网页 TLS
    说控件好用的,考虑 Linux 、 Mac OS 了么?
    Laforet
        16
    Laforet  
       2017-04-24 06:22:31 +08:00 via Android
    @Quaintjade

    网银这一块只要用的还是 TLS 和 X.509 的证书就并没有什么不妥。如果要监听内容的话,直接在服务器端就可以做,没必要自己发明一套传输层
    xxp27
        17
    xxp27  
       2017-04-24 07:45:56 +08:00 via iPhone
    @ryd994 不用考虑呀,本来就是小众
    ryd994
        18
    ryd994  
       2017-04-24 08:18:39 +08:00 via Android
    @xxp27 孤陋寡闻
    The dominant desktop operating system is Microsoft Windows with a market share of around 83.3%. macOS by Apple Inc. is in second place (11.2%), and the varieties of Linux is in third position (1.55%).

    更何况非 TLS 的控件能否正确实现端到端加密还是个问题
    FanError
        19
    FanError  
       2017-04-24 08:52:42 +08:00 via iPhone
    @ivmm 有效实施起来没那么简单,现在是直接那个扫描工具扫一下,把报告中的问题修复掉就收工了。
    ivmm
        20
    ivmm  
       2017-04-24 10:01:05 +08:00
    @FanError 不泄露一切平安,泄露了就玩完
    xxp27
        21
    xxp27  
       2017-04-24 11:26:16 +08:00 via iPhone
    @ryd994 好吧,加起来不到 20%,你告诉我不是小众,就当我孤陋寡闻吧,你开心就好,低下头敲代码的时候,也不要忘了抬起头看看路
    boter
        22
    boter  
       2017-04-24 11:32:44 +08:00
    银行目前没有支持 ie6 的了吧
    momocraft
        23
    momocraft  
       2017-04-24 12:01:44 +08:00
    国内网银的问题何止一个 https

    我在 windows 装国内网银控件后多了数个几乎没有签发者信息,几十年后过期,能用作所有用途的根证书...
    Hardrain
        24
    Hardrain  
       2017-04-25 10:16:21 +08:00
    @akwIX
    可是建行似乎把 RC4-SHA 作为首选的加密套件
    也不支持前向安全性
    E:\nmap-7.40>nmap.exe ibsbjstar.ccb.com.cn -p 443 -script=ssl-enum-ciphers

    Starting Nmap 7.40 ( https://nmap.org ) at 2017-04-25 10:09 ?D1ú±ê×?ê±??
    Stats: 0:00:08 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
    NSE Timing: About 40.00% done; ETC: 10:09 (0:00:09 remaining)
    Nmap scan report for ibsbjstar.ccb.com.cn (114.255.11.130)
    Host is up (0.11s latency).
    PORT STATE SERVICE
    443/tcp open https
    | ssl-enum-ciphers:
    | TLSv1.0:
    | ciphers:
    | TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
    | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
    | TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
    | compressors:
    | NULL
    | cipher preference: server
    | warnings:
    | 64-bit block cipher 3DES vulnerable to SWEET32 attack
    | Broken cipher RC4 is deprecated by RFC 7465
    | TLSv1.2:
    | ciphers:
    | TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
    | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
    | TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
    | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
    | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
    | compressors:
    | NULL
    | cipher preference: server
    | warnings:
    | 64-bit block cipher 3DES vulnerable to SWEET32 attack
    | Broken cipher RC4 is deprecated by RFC 7465
    |_ least strength: C

    Nmap done: 1 IP address (1 host up) scanned in 11.85 seconds
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1242 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:57 · PVG 07:57 · LAX 15:57 · JFK 18:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.