V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
ovear
V2EX  ›  全球工单系统

贵 B 快点把 wosign 的证书换了吧

  •  
  •   ovear · 2017-06-07 22:33:52 +08:00 · 9990 次点击
    这是一个创建于 2704 天前的主题,其中的信息可能已经有所发展或是发生改变。



    nslookup api.live.bilibili.com
    Server: 192.168.123.1
    Address: 192.168.123.1#53

    Non-authoritative answer:
    api.live.bilibili.com canonical name = bilibili.hdslb.net.
    Name: bilibili.hdslb.net
    Address: 121.32.238.201
    Name: bilibili.hdslb.net
    Address: 120.41.32.15
    Name: bilibili.hdslb.net
    Address: 113.113.80.9


    连个继续的按钮都没有,很尴尬啊
    78 条回复    2017-07-13 08:41:55 +08:00
    ovear
        1
    ovear  
    OP
       2017-06-07 22:34:36 +08:00   ❤️ 1
    @zccicy 一下
    1234rty
        2
    1234rty  
       2017-06-07 22:42:36 +08:00 via Android
    访问了一下 https://api.live.bilibili.com/ 我这才发现自己没有吊销 Startcom 的证书
    Technetiumer
        3
    Technetiumer  
       2017-06-07 22:42:53 +08:00 via Android
    chrome ?
    试试 badidea 有用么
    nyanyh
        4
    nyanyh  
       2017-06-07 22:43:41 +08:00
    这真是 23333 了
    ovear
        5
    ovear  
    OP
       2017-06-07 22:47:50 +08:00
    @1234rty chrome 最新版自动的。。。我也没办法。。

    @Technetiumer _(:з」∠)_这是啥,插件吗
    Love4Taylor
        6
    Love4Taylor  
       2017-06-07 22:51:39 +08:00
    咦 不说还真没注意这个竟然用的沃通....
    fengxing
        7
    fengxing  
       2017-06-07 22:55:37 +08:00
    你自己吊销了,chrome 肯定不给你显示继续的按钮。
    ovear
        8
    ovear  
    OP
       2017-06-07 22:58:08 +08:00
    @fengxing I do nothing. 我就重启了下浏览器,就这样了。
    Safari 不会,是 Chrome 自己吊销的。
    yexm0
        9
    yexm0  
       2017-06-07 22:58:50 +08:00 via iPhone
    @fengxing 没动过系统内置证书的也一样
    fengxing
        10
    fengxing  
       2017-06-07 23:02:22 +08:00
    @ovear #8
    @yexm0 #9 版本 60.0.3107.4 (正式版本) ( 64 位)正常,也许是因为最新的稳定版注销的?或者是老的版本,最新的开发版没问题
    operafans
        11
    operafans  
       2017-06-07 23:05:23 +08:00
    这事吧 chrome 这么耍流氓(不给继续访问) 貌似没人批评 反正错嘛 都是 wosign 作死 人家 chrome 这是为你安全着相

    #do no evil
    #滑稽
    LanFomalhaut
        12
    LanFomalhaut  
       2017-06-07 23:11:40 +08:00
    我这边并没被 Chrome 阻断掉
    yexm0
        13
    yexm0  
       2017-06-07 23:22:35 +08:00
    @fengxing 我这 chrome 不能打开,ie 可以
    fengxing
        14
    fengxing  
       2017-06-07 23:24:34 +08:00
    @yexm0 #13 你这是很老很老的版本了,现在最新的稳定版是 59.0.3071.86
    xx998
        15
    xx998  
       2017-06-07 23:32:41 +08:00 via Android
    除了 wosign,还有 StartCom 证书大家要赶紧吊销。
    http://www.solidot.org/story?sid=52634
    yangff
        16
    yangff  
       2017-06-07 23:34:07 +08:00   ❤️ 1
    输 badidea
    fengxing
        17
    fengxing  
       2017-06-07 23:53:07 +08:00
    @xx998 #15 还有赛门铁克的证书也得吊销,但是吊销的同时你会发现绝大多数 https 你打不开了
    zrj766
        18
    zrj766  
       2017-06-07 23:56:00 +08:00 via Android
    手机 chrome 可以正常打开
    NoAnyLove
        19
    NoAnyLove  
       2017-06-08 00:20:41 +08:00
    我这里刚刚更新到 59.0.3071.86,还是能打开,只会 URL 前面没有“安全”两个字
    AsherG
        20
    AsherG  
       2017-06-08 00:28:08 +08:00
    为什么我仿佛跟你们上的不是一个 B 站。。。

    https://ooo.0o0.ooo/2017/06/08/59382991023eb.png
    honeycomb
        21
    honeycomb  
       2017-06-08 00:38:30 +08:00
    https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
    事件在 8 月份发生的。b 站的问题是,2016 年 10 月居然还在申请 wosign 的证书。
    处理结果是不信任所有 10 月 21 日之后签发的证书,b 站刚好没被波及。

    目前的 Chrome 可能已经完全不信任 wosign 的根证书了

    @operafans
    全部过程在 Mozilla 的论坛进行的。


    @fengxing
    Chrome 目前正在缓慢的解除对 symantec 的信任
    chanssl
        22
    chanssl  
       2017-06-08 00:40:28 +08:00
    @AsherG #20 你这是主站的。https://api.live.bilibili.com/ 页面是 Wosign 签发的证书。

    我打开也没有出现安全警告,还有小绿锁。 更新到 59.0.3071.86 也还是一样。
    顺带吐槽一下,59.0.3071.86 的设置页变成跟 Google 系产品 Web 页面一样了。
    jybox
        23
    jybox  
       2017-06-08 00:43:23 +08:00
    @operafans 如果你有兴趣可以支持一下我的 https://nohttps.org,可以补充一段关于 HTTPS 给了浏览器和操作系统更多的,去判断一个网站是否「安全」的权力。
    fengxing
        24
    fengxing  
       2017-06-08 00:49:34 +08:00
    @honeycomb #21 并没有完全不信任,只是特定版本的原因
    ryd994
        25
    ryd994  
       2017-06-08 00:58:04 +08:00 via Android
    @jybox 你的建议不成立,能窃听就能重放
    换个角度再说,你说用 integrity 签名防篡改,那谁来对这些签名的公钥的身份呢?用 CA 的话和 https 不是一样的问题了么?
    Linux 发行版会在网上公开公钥,同时提醒你校验 ISO 的 hash,因为他们官网用的 https,所以他可以认为不会被中间人。
    最后,如果你只想用 https 的身份验证和数据一致性功能,而不想加密的话,可以使用 null cipher
    PKI 不是万能的,但我找不到更好的。gpg 根本不管密钥分发。
    RqPS6rhmP3Nyn3Tm
        26
    RqPS6rhmP3Nyn3Tm  
       2017-06-08 02:07:13 +08:00 via iPhone
    我对鼓吹自己吊销密钥表示反对。各大浏览器厂商都有一套审计流程,比用户自己的喜欢 /不喜欢严谨得多。如果 CA 有问题,操作系统和浏览器自然会不信任。
    xx998
        27
    xx998  
       2017-06-08 03:06:18 +08:00 via Android
    @BXIA 中国互联网与世界互联网是两个不同的世界。
    国际公认必须吊销,但到了国内,因某些见不得人政策需要,国产浏览器厂商会被要求保留这些证书。
    ryd994
        28
    ryd994  
       2017-06-08 03:08:33 +08:00 via Android
    @xx998 1. 不用国产浏览器,反正跑不出 IE 和 chrome 套壳
    2. 老大哥想看你内裤还用得着这么麻烦?
    RqPS6rhmP3Nyn3Tm
        29
    RqPS6rhmP3Nyn3Tm  
       2017-06-08 03:27:46 +08:00 via iPhone
    @xx998 作为用户,你有权利选择你认为审计透明的浏览器厂商,比如 Firefox。
    Showfom
        30
    Showfom  
       2017-06-08 04:38:38 +08:00 via iPhone
    不知道贵 B 欠我司的钱什么时候还
    wjm2038
        31
    wjm2038  
       2017-06-08 05:19:17 +08:00 via Android   ❤️ 1
    @Showfom 哇,欠的是证书的钱?
    wormcy
        32
    wormcy  
       2017-06-08 07:44:13 +08:00 via Android
    @Showfom 说出你的故事
    zccicy
        33
    zccicy  
       2017-06-08 08:24:09 +08:00
    已转给同事
    a282810
        34
    a282810  
       2017-06-08 08:30:24 +08:00
    版本 59.0.3071.86 (正式版本) ( 64 位), 没有出现安全警告
    inspiron530s
        35
    inspiron530s  
       2017-06-08 08:32:08 +08:00
    为何还不吊销 Symantec 的证书!说白了还是 ideology 在作祟
    mortal
        36
    mortal  
       2017-06-08 08:36:06 +08:00
    插个题外话,B 站现在是不是对不是会员的限速了,看个视频缓冲来缓冲去的,好难受。我是 200M 电信宽带……
    zccicy
        37
    zccicy  
       2017-06-08 08:46:06 +08:00
    @mortal 来个 ip 或者 mid 我帮你查问题
    operafans
        38
    operafans  
       2017-06-08 08:55:25 +08:00
    @honeycomb 我不是说证书这事,just saying chrome 这么拦截用户访问一个或许没什么问题的页面的手法很霸道
    jarlyyn
        39
    jarlyyn  
       2017-06-08 08:58:52 +08:00 via Android
    @operafans

    我公司内网 Github 用的是 startcom 的证书,上次更新 debian 后 git. 不能提交了,我是不是也要说 git 霸道啊?
    operafans
        40
    operafans  
       2017-06-08 08:59:48 +08:00
    @jybox 见上。另外我不对网站的安全配置工作进行任何评价。换句话说 我并不觉得 任何公司或者任何手段 能提供给我足够可信赖的“安全”支持。
    operafans
        41
    operafans  
       2017-06-08 09:01:55 +08:00   ❤️ 1
    @jarlyyn 是的。霸道和安全本身就两个不同概念。git 为了所谓的安全 未经沟通直接 ban 你的提交 不是霸道是什么。
    世界警察还经常已安全理由一个导弹飞过去呢,或许,不霸道?
    neutrino
        42
    neutrino  
       2017-06-08 09:07:02 +08:00
    用 xp 下的 chrome,稳定维持在 49 版本,没问题。
    kamal
        43
    kamal  
       2017-06-08 09:16:55 +08:00
    唔~ chrome 59 的 setting 界面好看多了。
    skylancer
        44
    skylancer  
       2017-06-08 09:24:43 +08:00
    @fengxing 自己吊销的证书曾经也是有一个继续的按钮
    LutherStrike
        45
    LutherStrike  
       2017-06-08 09:25:31 +08:00
    @mortal 感觉更像是对区域限速划分不清的原因。有时候挂个异地的 ss 就行了。
    jin5354
        46
    jin5354  
       2017-06-08 09:34:56 +08:00
    @ryd994 SRI 只是个摘要签名,跟 MD5 类似,服务器端产生,浏览器端核对,摘要签名内容写在主页面中,由 https 保证不被篡改,校验失败即拒绝载入该资源。
    AsherG
        47
    AsherG  
       2017-06-08 09:37:44 +08:00
    @chanssl #22 原来如此。。。话说为什么还要分两家申请证书。。。

    谷歌这是要统一自家界面到 Material Design 了
    ppwangs
        48
    ppwangs  
       2017-06-08 11:05:00 +08:00
    11:04 点进去看到直播解高考题……
    一点都看不懂了。
    laduary
        49
    laduary  
       2017-06-08 11:16:08 +08:00

    我这没有标红,求解。
    jybox
        50
    jybox  
       2017-06-08 11:44:00 +08:00
    @ryd994 我那个网站本意是列出 HTTPS 的弊端,不过目前只有关于 HTTPS 导致的额外计算和传输成本的问题,我上面并没有说完全放弃 HTTPS,只是没必要在所有的地方去使用它(不过这是另外一个话题了)。我在这提了一下是觉得可以把 @operafans 所提到的浏览器禁止用户访问「不安全」的网站很霸道的这件事补充上去。
    Lentin
        51
    Lentin  
       2017-06-08 12:06:38 +08:00
    可以在页面空打 badidea 强行打开 =。=
    ghost444
        52
    ghost444  
       2017-06-08 12:21:54 +08:00 via Android
    @jybox 让中间人有更细的审查粒度这一条就可以把整个方案 pass 了……除了引入些很常用的共有库用明文基本没问题外其他资源走不走明文都让站长决定太理想化了,现在对 HTTP 限制这么多不还是有站在裸奔(摊手
    jybox
        53
    jybox  
       2017-06-08 13:27:40 +08:00
    @ghost444 我是觉得浏览器不应该去定义什么是「安全」,这个应该由网站开发者来去决定,然后用户选择是否接受。虽然很多开发者和用户并没有这个能力,但浏览器也不应该粗暴地进行限制。我觉得在网页浏览里其实不需要防窃听的程序代码和可公开访问的图片其实还是占了大部分流量,有个人信息的内容是小部分。
    deeporist
        54
    deeporist  
       2017-06-08 13:28:41 +08:00
    @laduary 这个需要自己手动去干掉它
    honeycomb
        55
    honeycomb  
       2017-06-08 13:37:17 +08:00
    @operafans

    ”一个或许没什么问题的页面“
    一个使用了不受支持的数字证书的页面是一个比较可能有问题的页面
    operafans
        56
    operafans  
       2017-06-08 13:42:33 +08:00   ❤️ 1
    @jybox 很无奈。我觉得 似乎“必须 /强制 https ”已经成为一种 political correctness 了

    例如:
    ”一个或许没什么问题的页面“
    一个使用了不受支持的数字证书的页面是一个比较可能有问题的页面

    这话跟我说的 没毛病!
    honeycomb
        57
    honeycomb  
       2017-06-08 13:42:53 +08:00
    Systemd
        58
    Systemd  
       2017-06-08 14:03:55 +08:00 via Android   ❤️ 1
    @operafans

    +1 我觉得这件事应该由站点开发者和用户共同决定

    但我想强制 https 不仅仅是为了安全,很多地方 ISP 会篡改 HTTP 传输的资源,直接导致服务不可用。
    gongjianhui
        59
    gongjianhui  
       2017-06-08 14:33:40 +08:00
    @AsherG #47 因为 *.bilibili.com 只能覆盖二级域名,不能覆盖三级(及以上)。
    pixstone
        60
    pixstone  
       2017-06-08 14:40:51 +08:00
    贵 A 的 SSL .. 等等 没有么???

    ~ curl -v https://www.acfun.cn/
    * Trying 101.226.181.113...
    * TCP_NODELAY set
    * Connected to www.acfun.cn (101.226.181.113) port 443 (#0)
    * Unknown SSL protocol error in connection to www.acfun.cn:-9829
    * Curl_http_done: called premature == 1
    * Closing connection 0
    curl: (35) Unknown SSL protocol error in connection to www.acfun.cn:-9829
    AsherG
        61
    AsherG  
       2017-06-08 14:41:41 +08:00
    @gongjianhui #55 这个我知道啊,我奇怪的是为什么三级域名就要换一家申请。。。这是在试试哪家的“好用”么。。
    Showfom
        62
    Showfom  
       2017-06-08 14:43:39 +08:00 via iPhone
    @wjm2038
    @wormcy 租赁 IP 的钱 找负责人直接装死 找熟人去问 好歹不装死谁帮我联系财务 然后又开始装死

    我会考虑在适当的时候曝光一下 钱不多 也就万把块 但是这事很恶心就是了
    fdb713
        63
    fdb713  
       2017-06-08 14:46:01 +08:00
    @pixstone 想什么呢 现在 A 还有靠谱技术吗(
    fdb713
        64
    fdb713  
       2017-06-08 14:46:49 +08:00
    @Showfom 建议你下次来魔都的时候直接去找他(抠鼻
    Showfom
        65
    Showfom  
       2017-06-08 14:48:56 +08:00 via iPhone
    @fdb713 我对小气的公司毫无性趣 那天看不惯我就顺手恶心一下 233
    huaxianyan
        66
    huaxianyan  
       2017-06-08 15:01:01 +08:00
    不过实话说

    比起安全,我更想要一些选择,有的时候可能会有非用不可的理由

    空打 badidea,学到了
    580a388da131
        67
    580a388da131  
       2017-06-08 15:01:24 +08:00
    Chrome 已经变成土共了,什么都要他们说了算。
    zpf124
        68
    zpf124  
       2017-06-08 15:07:07 +08:00
    @NoAnyLove 同头像,同版本,但我的打不开了.

    ghost444
        69
    ghost444  
       2017-06-08 16:38:08 +08:00
    @jybox 网站开发者决定之后用户基本没有拒绝的权利(垄断的问题不想展开讲),不同用户对隐私的敏感程度不同又会出一大堆事情(金融方面的得全加密没争议了,但视频 /图站的历史记录呢,在能看到引用的静态资源之后整合出来不要太轻松),衡量下成本还不如继续用目前已经满足大部分人(除去 Tor 用户)的标准。
    expy
        70
    expy  
       2017-06-08 21:50:33 +08:00
    @zccicy https://bilibili.com/ 这个子域是故意没设置么?
    NoAnyLove
        71
    NoAnyLove  
       2017-06-08 22:31:26 +08:00
    @zpf124 好神奇!这是为啥?
    breeswish
        72
    breeswish  
       2017-06-09 01:44:56 +08:00
    赛门铁克事件和 WoSign / StartCom / CNNIC 事件性质差不多甚至更恶劣,然后呢,不活得好好的?

    不就是喜欢捏软柿子嘛,找个意识形态自己一向看不惯的、用户少的 ban 了以后不会导致自家产品被大规模 complain 的,ban 一下,彰显一下自己注重“安全”
    honeycomb
        73
    honeycomb  
       2017-06-09 09:29:05 +08:00
    @breeswish
    symantec 的证书业务哪里活得好好的?
    看一下 mozilla 的那个论坛
    flynaj
        75
    flynaj  
       2017-06-09 14:11:59 +08:00
    现在已经换了!
    lookas2001
        76
    lookas2001  
       2017-06-11 20:37:24 +08:00 via Android
    @expy bili.com。。。
    Systemd
        77
    Systemd  
       2017-06-13 22:08:23 +08:00 via Android
    换成 Trust Asia 的了…
    mortal
        78
    mortal  
       2017-07-13 08:41:55 +08:00
    @zccicy #37 谢谢,不是网页端,是 iOS 客户端( iPad 版本)。网页端缓冲速度跑得满。是不是要充个大会员?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2580 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:31 · PVG 19:31 · LAX 04:31 · JFK 07:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.