2
1234rty 2017-06-07 22:42:36 +08:00 via Android
访问了一下 https://api.live.bilibili.com/ 我这才发现自己没有吊销 Startcom 的证书
|
3
Technetiumer 2017-06-07 22:42:53 +08:00 via Android
chrome ?
试试 badidea 有用么 |
4
nyanyh 2017-06-07 22:43:41 +08:00
这真是 23333 了
|
5
ovear OP |
6
Love4Taylor 2017-06-07 22:51:39 +08:00
咦 不说还真没注意这个竟然用的沃通....
|
7
fengxing 2017-06-07 22:55:37 +08:00
你自己吊销了,chrome 肯定不给你显示继续的按钮。
|
8
ovear OP @fengxing I do nothing. 我就重启了下浏览器,就这样了。
Safari 不会,是 Chrome 自己吊销的。 |
10
fengxing 2017-06-07 23:02:22 +08:00
|
11
operafans 2017-06-07 23:05:23 +08:00
这事吧 chrome 这么耍流氓(不给继续访问) 貌似没人批评 反正错嘛 都是 wosign 作死 人家 chrome 这是为你安全着相
#do no evil #滑稽 |
12
LanFomalhaut 2017-06-07 23:11:40 +08:00
我这边并没被 Chrome 阻断掉
|
15
xx998 2017-06-07 23:32:41 +08:00 via Android
除了 wosign,还有 StartCom 证书大家要赶紧吊销。
http://www.solidot.org/story?sid=52634 |
16
yangff 2017-06-07 23:34:07 +08:00 1
输 badidea
|
18
zrj766 2017-06-07 23:56:00 +08:00 via Android
手机 chrome 可以正常打开
|
19
NoAnyLove 2017-06-08 00:20:41 +08:00
我这里刚刚更新到 59.0.3071.86,还是能打开,只会 URL 前面没有“安全”两个字
|
20
AsherG 2017-06-08 00:28:08 +08:00
为什么我仿佛跟你们上的不是一个 B 站。。。
https://ooo.0o0.ooo/2017/06/08/59382991023eb.png |
21
honeycomb 2017-06-08 00:38:30 +08:00
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
事件在 8 月份发生的。b 站的问题是,2016 年 10 月居然还在申请 wosign 的证书。 处理结果是不信任所有 10 月 21 日之后签发的证书,b 站刚好没被波及。 目前的 Chrome 可能已经完全不信任 wosign 的根证书了 @operafans 全部过程在 Mozilla 的论坛进行的。 @fengxing Chrome 目前正在缓慢的解除对 symantec 的信任 |
22
chanssl 2017-06-08 00:40:28 +08:00
@AsherG #20 你这是主站的。https://api.live.bilibili.com/ 页面是 Wosign 签发的证书。
我打开也没有出现安全警告,还有小绿锁。 更新到 59.0.3071.86 也还是一样。 顺带吐槽一下,59.0.3071.86 的设置页变成跟 Google 系产品 Web 页面一样了。 |
23
jybox 2017-06-08 00:43:23 +08:00
@operafans 如果你有兴趣可以支持一下我的 https://nohttps.org,可以补充一段关于 HTTPS 给了浏览器和操作系统更多的,去判断一个网站是否「安全」的权力。
|
25
ryd994 2017-06-08 00:58:04 +08:00 via Android
@jybox 你的建议不成立,能窃听就能重放
换个角度再说,你说用 integrity 签名防篡改,那谁来对这些签名的公钥的身份呢?用 CA 的话和 https 不是一样的问题了么? Linux 发行版会在网上公开公钥,同时提醒你校验 ISO 的 hash,因为他们官网用的 https,所以他可以认为不会被中间人。 最后,如果你只想用 https 的身份验证和数据一致性功能,而不想加密的话,可以使用 null cipher PKI 不是万能的,但我找不到更好的。gpg 根本不管密钥分发。 |
26
RqPS6rhmP3Nyn3Tm 2017-06-08 02:07:13 +08:00 via iPhone
我对鼓吹自己吊销密钥表示反对。各大浏览器厂商都有一套审计流程,比用户自己的喜欢 /不喜欢严谨得多。如果 CA 有问题,操作系统和浏览器自然会不信任。
|
27
xx998 2017-06-08 03:06:18 +08:00 via Android
@BXIA 中国互联网与世界互联网是两个不同的世界。
国际公认必须吊销,但到了国内,因某些见不得人政策需要,国产浏览器厂商会被要求保留这些证书。 |
28
ryd994 2017-06-08 03:08:33 +08:00 via Android
@xx998 1. 不用国产浏览器,反正跑不出 IE 和 chrome 套壳
2. 老大哥想看你内裤还用得着这么麻烦? |
29
RqPS6rhmP3Nyn3Tm 2017-06-08 03:27:46 +08:00 via iPhone
@xx998 作为用户,你有权利选择你认为审计透明的浏览器厂商,比如 Firefox。
|
30
Showfom 2017-06-08 04:38:38 +08:00 via iPhone
不知道贵 B 欠我司的钱什么时候还
|
33
zccicy 2017-06-08 08:24:09 +08:00
已转给同事
|
34
a282810 2017-06-08 08:30:24 +08:00
版本 59.0.3071.86 (正式版本) ( 64 位), 没有出现安全警告
|
35
inspiron530s 2017-06-08 08:32:08 +08:00
为何还不吊销 Symantec 的证书!说白了还是 ideology 在作祟
|
36
mortal 2017-06-08 08:36:06 +08:00
插个题外话,B 站现在是不是对不是会员的限速了,看个视频缓冲来缓冲去的,好难受。我是 200M 电信宽带……
|
38
operafans 2017-06-08 08:55:25 +08:00
@honeycomb 我不是说证书这事,just saying chrome 这么拦截用户访问一个或许没什么问题的页面的手法很霸道
|
39
jarlyyn 2017-06-08 08:58:52 +08:00 via Android
|
40
operafans 2017-06-08 08:59:48 +08:00
@jybox 见上。另外我不对网站的安全配置工作进行任何评价。换句话说 我并不觉得 任何公司或者任何手段 能提供给我足够可信赖的“安全”支持。
|
41
operafans 2017-06-08 09:01:55 +08:00 1
@jarlyyn 是的。霸道和安全本身就两个不同概念。git 为了所谓的安全 未经沟通直接 ban 你的提交 不是霸道是什么。
世界警察还经常已安全理由一个导弹飞过去呢,或许,不霸道? |
42
neutrino 2017-06-08 09:07:02 +08:00
用 xp 下的 chrome,稳定维持在 49 版本,没问题。
|
43
kamal 2017-06-08 09:16:55 +08:00
唔~ chrome 59 的 setting 界面好看多了。
|
45
LutherStrike 2017-06-08 09:25:31 +08:00
@mortal 感觉更像是对区域限速划分不清的原因。有时候挂个异地的 ss 就行了。
|
46
jin5354 2017-06-08 09:34:56 +08:00
@ryd994 SRI 只是个摘要签名,跟 MD5 类似,服务器端产生,浏览器端核对,摘要签名内容写在主页面中,由 https 保证不被篡改,校验失败即拒绝载入该资源。
|
47
AsherG 2017-06-08 09:37:44 +08:00
|
48
ppwangs 2017-06-08 11:05:00 +08:00
11:04 点进去看到直播解高考题……
一点都看不懂了。 |
49
laduary 2017-06-08 11:16:08 +08:00
我这没有标红,求解。 |
50
jybox 2017-06-08 11:44:00 +08:00
|
51
Lentin 2017-06-08 12:06:38 +08:00
可以在页面空打 badidea 强行打开 =。=
|
52
ghost444 2017-06-08 12:21:54 +08:00 via Android
@jybox 让中间人有更细的审查粒度这一条就可以把整个方案 pass 了……除了引入些很常用的共有库用明文基本没问题外其他资源走不走明文都让站长决定太理想化了,现在对 HTTP 限制这么多不还是有站在裸奔(摊手
|
53
jybox 2017-06-08 13:27:40 +08:00
@ghost444 我是觉得浏览器不应该去定义什么是「安全」,这个应该由网站开发者来去决定,然后用户选择是否接受。虽然很多开发者和用户并没有这个能力,但浏览器也不应该粗暴地进行限制。我觉得在网页浏览里其实不需要防窃听的程序代码和可公开访问的图片其实还是占了大部分流量,有个人信息的内容是小部分。
|
56
operafans 2017-06-08 13:42:33 +08:00 1
@jybox 很无奈。我觉得 似乎“必须 /强制 https ”已经成为一种 political correctness 了
例如: ”一个或许没什么问题的页面“ 一个使用了不受支持的数字证书的页面是一个比较可能有问题的页面 这话跟我说的 没毛病! |
57
honeycomb 2017-06-08 13:42:53 +08:00
|
58
Systemd 2017-06-08 14:03:55 +08:00 via Android 1
|
59
gongjianhui 2017-06-08 14:33:40 +08:00
@AsherG #47 因为 *.bilibili.com 只能覆盖二级域名,不能覆盖三级(及以上)。
|
60
pixstone 2017-06-08 14:40:51 +08:00
贵 A 的 SSL .. 等等 没有么???
~ curl -v https://www.acfun.cn/ * Trying 101.226.181.113... * TCP_NODELAY set * Connected to www.acfun.cn (101.226.181.113) port 443 (#0) * Unknown SSL protocol error in connection to www.acfun.cn:-9829 * Curl_http_done: called premature == 1 * Closing connection 0 curl: (35) Unknown SSL protocol error in connection to www.acfun.cn:-9829 |
61
AsherG 2017-06-08 14:41:41 +08:00
@gongjianhui #55 这个我知道啊,我奇怪的是为什么三级域名就要换一家申请。。。这是在试试哪家的“好用”么。。
|
62
Showfom 2017-06-08 14:43:39 +08:00 via iPhone
|
66
huaxianyan 2017-06-08 15:01:01 +08:00
不过实话说
比起安全,我更想要一些选择,有的时候可能会有非用不可的理由 空打 badidea,学到了 |
67
580a388da131 2017-06-08 15:01:24 +08:00
Chrome 已经变成土共了,什么都要他们说了算。
|
69
ghost444 2017-06-08 16:38:08 +08:00
@jybox 网站开发者决定之后用户基本没有拒绝的权利(垄断的问题不想展开讲),不同用户对隐私的敏感程度不同又会出一大堆事情(金融方面的得全加密没争议了,但视频 /图站的历史记录呢,在能看到引用的静态资源之后整合出来不要太轻松),衡量下成本还不如继续用目前已经满足大部分人(除去 Tor 用户)的标准。
|
70
expy 2017-06-08 21:50:33 +08:00
@zccicy https://bilibili.com/ 这个子域是故意没设置么?
|
72
breeswish 2017-06-09 01:44:56 +08:00
赛门铁克事件和 WoSign / StartCom / CNNIC 事件性质差不多甚至更恶劣,然后呢,不活得好好的?
不就是喜欢捏软柿子嘛,找个意识形态自己一向看不惯的、用户少的 ban 了以后不会导致自家产品被大规模 complain 的,ban 一下,彰显一下自己注重“安全” |
74
honeycomb 2017-06-09 09:33:29 +08:00
|
75
flynaj 2017-06-09 14:11:59 +08:00
现在已经换了!
|
76
lookas2001 2017-06-11 20:37:24 +08:00 via Android
|
77
Systemd 2017-06-13 22:08:23 +08:00 via Android
换成 Trust Asia 的了…
|