1
lcdtyph 2020-04-13 23:46:48 +08:00 via iPhone 2
如果“ 在无法验证域名所有权的情况下,浏览器默认信任签发机构,不用另行导入”,那么整个公钥认证体系就没有任何意义了
|
2
tyhunter OP @lcdtyph 刚仔细想了下,这点确实小白了,请教下现在 GMCert 浏览器还是会提示不信任,有没有其他免费签发机构可以推荐的,本地导入公钥的形式
|
3
Tink 2020-04-13 23:50:18 +08:00
不可能
|
4
Keyes 2020-04-13 23:51:38 +08:00 via iPhone
本地能导直接自签就行了
|
5
hundan 2020-04-13 23:58:27 +08:00 via iPhone
洗洗睡吧 梦里啥都有
|
6
darknoll 2020-04-14 00:00:13 +08:00 via Android
应该不行
|
7
lookas2001 2020-04-14 00:06:32 +08:00
ca 就是防 mitm 以及身份验证用的,如果存在一种方法可以绕过这种安全机制,那要 ca 干啥呢?
要么导入根证书,要么用不安全的浏览器(比如 360 不安全浏览器) |
8
cydian 2020-04-14 00:07:19 +08:00 via Android
不是 应该不行,
而是 决定不行。 |
9
cydian 2020-04-14 00:07:34 +08:00 via Android
而是 绝对不行
|
10
lcdtyph 2020-04-14 00:10:01 +08:00 1
@tyhunter #2
我没用过 gmcert,不过想来应该是你导入的不对,或者是下载的证书缺少中间证书链 我之前用的 mkcert https://github.com/FiloSottile/mkcert 本地生成证书,还可以自动安装根证书,很方便 |
11
tyhunter OP @lcdtyph 感谢大佬,现在就是 GMcert 下载回来的证书,导入本地会被 Windows 提示无法验证,下载回来是有三个 pem 文件,除了第一个 cert.pem 改名为 cert.crt 可以导入外,其他两个都不行,我试试你说的
|
13
nieyujiang 2020-04-14 00:18:40 +08:00 via iPhone
浏览器默认信任签发机构,那还要证书干什么🌚,直接 http 不好么
|
14
chinvo 2020-04-14 00:28:09 +08:00 via iPhone
两个事
1 、MITM 是违法的,即使你在为某些奇怪的机构工作 2 、Windows 不支持国密 |