StartSSL 完蛋了吗?之后的 CA 证书,不论是免费版,还是收费版,都不会被三大浏览器(FF,Ch,Sa)信任了吧?

2016-11-02 10:53:28 +08:00
 lxf1992521

如题,公司之前的证书全部使用的是沃通的免费 SSL ,后来看到 FF 发通告所沃通将不被信任,所以准备迁移到 StartSSL 收费版;

但是最近一段时间的三大浏览器接二连三的发通告,声称不再信任之后的沃通 /StartCom 迁出的 CA 证书, Sa 浏览器更狠,连之前签发的都不信任了。

所以不知道现在 startssl 收费版还能不能用,不能用的话,大家推荐下比较好的 CA 收费版签发机构?

12602 次点击
所在节点    SSL
101 条回复
wd85318
2016-11-03 13:28:28 +08:00
@mooncakejs
又开始扯那套丛林法则啦?啧啧,不亏是丛林法则下教育出来的,只适合非洲大草原,不适合文明社会
lovedebug
2016-11-03 13:33:15 +08:00
我能说 CA 组织不是你想进就能进的吗?不花钱花关系就是做梦好不?
已有的组织成员都会想方设法阻止新玩家的~~
lovedebug
2016-11-03 13:35:56 +08:00
@yylzcom CA 组织比较大,而且每个浏览器厂商例如 firefox 也有自己的内置 truststore ,而微软和 chrome 则用 os 系统的。加入 CA 组织可以强制要求组织内的几大浏览器支持自己的 CA ,但是也有加入 firefox CA 而没有加入 CA 组织的情况。
lovedebug
2016-11-03 13:38:05 +08:00
还有 CA 组织每年都会搞一些新条例,这些新条例有些看起来是维护安全的名义,实际上为了玩死一些小 CA 。。。 而且很多根 CA 其实都被大厂在后面买断了,表面是一堆品牌,看不出来而已。
lovedebug
2016-11-03 13:41:38 +08:00
@hyyou2010 这只是一方面,其实确实是不希望中国有公司加入 CA 组织而已。 CA 组织内出国事的不止一家,忘记是 Verisign 还是 Entrust 乱签 google 被内部通报和谷歌发现都没被踢出去。中国政府想加入也只能偷偷买外国小 CA ,被发现就是踢出去。
honeycomb
2016-11-03 14:29:42 +08:00
@lovedebug
这样说的不对
wosign 和 CNNIC 事件都有大量明确证据指向它们自己蓄意违反安全规则(如倒填 sha1 证书日期)

verisign 目前是 Symantec 的子公司
stneng
2016-11-03 14:45:26 +08:00
@honeycomb verisign 并不是 Symantec 的子公司,只是认证服务被卖给 Symantec 了而已。
hyyou2010
2016-11-04 00:18:05 +08:00
哈哈,洗地总是最终洗成这样: 1 、西方忘我之心不死, 2 、别人也作恶过,凭什么就踢我。
Quaintjade
2016-11-04 09:26:31 +08:00
@lovedebug
Symantec (Verisign) 签过错误域名的测试证书,但因为无法证明是公司层面的故意行为,所以没有被整个干掉,但记得被干掉了一个根证书。

你说 Verisign 是 Too big to fail 我同意,但你说中西方差别对待那就错了。因为之后 Wosign 也发生过几乎相同的事件,但同样也没有被踢出去。
这次被踢是因为*故意*倒填日期,而且 EV 根没被踢。
lovedebug
2016-11-04 10:10:47 +08:00
@Quaintjade 这次也是 wosign 作死。不过中西方区别对待在 CA 组织中是真的有- -
lovedebug
2016-11-04 10:14:19 +08:00
@hyyou2010 话不是这么讲的。而是 CA 组织搞双重标准受不了。老外的几个大 CA 厂商出事严重多了也没搞得太惨。
lovedebug
2016-11-04 10:15:39 +08:00
@hyyou2010 可能你不了解内情吧。 忘了那家公司还给 CA 组织发道歉信说是测试不小心搞出去的。。。然后就信了。
hyyou2010
2016-11-04 13:24:17 +08:00
@lovedebug 哈,你了解内情?我的确不了解内情,因为这些事情就应该从公开的渠道去看。了解内情的你洗地半天也没拿出一样像个样子的干货,除了臆想的阴谋论。
lovedebug
2016-11-04 13:48:28 +08:00
@hyyou2010 。。。我有洗么? 只是说了下 CA 内部的情况而已。公开渠道是 CA 组织发布的, CA 组织内部有自己的讨论组。 我的意见是 wosign 自己作死,也别把 CA 组织想的多高尚。利益相关。
Quaintjade
2016-11-04 15:37:31 +08:00
@lovedebug
不知道你所谓的内情是哪里来的?你说的严重出事又是什么?错发测试证书在没有造成严重后果情况下,本来就不会有严厉惩罚,沃通以前犯错也是一样没什么惩罚。

我已经说了很多遍了, Wosign 这次是因为被证明*故意*才被取消信任。 Wosign 开始辩解说是程序错误,但 Mozilla 从逻辑上反驳了 Wosign 的说法,证明是其主观签发的。
换句话说,如果 Wosign 给的解释, Mozilla 无法证明它在撒谎,那么也拿 Wosign 没办法。
lovedebug
2016-11-04 16:16:03 +08:00
@Quaintjade 内情是利益相关~~ 做 CA 的。同意你的 wosign 作死的看法。我也说了 CA 组织内部的情况作为补充。
Quaintjade
2016-11-04 17:54:48 +08:00
@lovedebug
并不知道 CA 组织内部还有什么讨论组,如果有的话又有些谁。

事实上,像这次 wosign 一部分讨论是发在 Google Groups 和 Bugzilla (初步解释),另一部分是邮件完成的(详细报告)。
经常发难的一般都是浏览器方,主要就 Google 和 Mozilla ,一般发上面两个地方,这是公开的。如果内部组不包括 G/M ,那也没什么用;如果包括 G/M ,我不知道为啥这两家会有那么闲。
lovedebug
2016-11-07 10:19:47 +08:00
@Quaintjade 内部是包括 G/M 的,有些会公开有些就是内部讨论了。一般 CA 是轮值主席,每年一次。
lovedebug
2016-11-07 10:26:00 +08:00
@Quaintjade CA 组织内根 ROOT 都在里面,当然并非全部的。加入这个组织比较困难。而加入 firefox 等自带 truststore 的会容易点。浏览器厂商作为执行者也在组织内部。
Khlieb
2016-11-08 21:46:07 +08:00
@hyyou2010 再怎么洗地也掩盖不了这帮女干商的诚信问题
@yylzcom 用诸葛孔明的话说就是我从未见有如此厚颜无耻之人

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/317337

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX