V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sharpkingdom
V2EX  ›  SSL

StartSSL 的 PKI 平台已由奇虎 360 托管

  •  2
     
  •   sharpkingdom · 2016-02-16 14:14:37 +08:00 · 7004 次点击
    这是一个创建于 3210 天前的主题,其中的信息可能已经有所发展或是发生改变。
    32 条回复    2016-09-20 12:07:32 +08:00
    TakanashiAzusa
        1
    TakanashiAzusa  
       2016-02-16 17:54:08 +08:00
    删证书保平安
    rainy3636
        2
    rainy3636  
       2016-02-16 18:04:30 +08:00 via Android
    上次看到用 360 的服务器时就拉黑了根证书
    xrui
        3
    xrui  
       2016-02-16 18:21:52 +08:00 via Android
    完,还是 le 吧…
    aivier
        4
    aivier  
       2016-02-16 18:23:25 +08:00
    360 又不是恶魔,何必这样,各种拉黑又能怎样?值得去窃取根证书监听内容的网站会用 StartSSL ?
    VmuTargh
        5
    VmuTargh  
       2016-02-16 18:28:58 +08:00 via Android
    药丸啊 赶紧转 le (虽然我现在用的是 cf 家的 ssl )
    wzxjohn
        6
    wzxjohn  
       2016-02-16 18:34:48 +08:00
    吃枣药丸。去年出这个公告的时候就不再用了。。。
    maskerTUI
        7
    maskerTUI  
       2016-02-16 21:20:51 +08:00   ❤️ 1
    @aivier 360 就是互联网的恶魔
    blacktulip
        8
    blacktulip  
       2016-02-16 21:23:22 +08:00   ❤️ 1
    @aivier 360 不是惡魔誰是惡魔?
    hancc
        9
    hancc  
       2016-02-16 21:28:31 +08:00
    @aivier 360 就是互联网的恶魔
    songjiaxin2008
        10
    songjiaxin2008  
       2016-02-16 21:32:22 +08:00 via iPhone
    这么早就说不安全,会不会给人一种钦定、硬点的感觉?各大浏览器厂商都盯着, 360 要是作死 StartSSL 根肯定被拉黑。不要总是想着搞个大新闻。
    ooxxcc
        11
    ooxxcc  
       2016-02-16 21:32:53 +08:00
    卧槽。。。。回头就去换掉
    DesignerSkyline
        12
    DesignerSkyline  
       2016-02-16 21:39:57 +08:00
    360 是时候加入 Certificate Transparency 了。 2333333333
    est
        13
    est  
       2016-02-16 21:50:52 +08:00
    貌似只用了 360 的 cdn 吧。大惊小怪。
    chemzqm
        14
    chemzqm  
       2016-02-16 21:53:56 +08:00
    系统上竟然有 3 个他们家根证书,已经全部拉黑

    @songjiaxin2008 360 做的死还少吗
    yylzcom
        15
    yylzcom  
       2016-02-16 21:54:33 +08:00
    就是不给流氓半点机会,不把用户当人,我们还把他当人看?
    在有能力选择的时候,一定不给流氓半点机会!
    songjiaxin2008
        16
    songjiaxin2008  
       2016-02-16 21:56:31 +08:00 via iPhone
    @chemzqm 就事论事 360 并没有在证书上搞什么事情吧
    redsonic
        17
    redsonic  
       2016-02-16 22:08:11 +08:00
    交给 360 等于交给郭嘉,另外还有 wosign 。
    est
        18
    est  
       2016-02-16 22:16:38 +08:00
    @redsonic 正解。 360 和 P.R.C.公安部穿一条裤子的。红衣主教和部委里的关系熟的很。
    wql
        19
    wql  
       2016-02-16 22:25:30 +08:00 via Android
    只是前端 CDN 开启了 360 而已,他们用证书验证回源就可以保证私钥不泄漏了。
    我依然信任 startssl
    iF2007
        20
    iF2007  
       2016-02-16 23:15:14 +08:00   ❤️ 1
    如果 CA 被 360 管理运行的话,那么 360 可以想搞谁就搞谁——因为它是 CA ,可以撤销你的证书,可以换一个证书给你,还可以做更可怕的事情——因为它是 CA
    wql
        21
    wql  
       2016-02-16 23:16:36 +08:00 via Android
    @iF2007 如果真是这样,真可怕。
    lhbc
        22
    lhbc  
       2016-02-16 23:18:35 +08:00 via Android
    据说 360 浏览器即使证书错误也会忽略然后请求页面的?求证。
    另外,证书错误会发送已保存的 Cookies 吗?
    ryd994
        23
    ryd994  
       2016-02-17 03:05:57 +08:00
    @lhbc 不会发送 cookies
    要先 tls 握手成功才有 http 部分
    lshero
        24
    lshero  
       2016-02-17 03:20:59 +08:00 via iPhone
    对数字厂有点太较真了吧?突然想万一某天数字厂想恶心人给 openssl 和 libressl 捐点款,然后接下来该准备怎么弄?
    initialdp
        25
    initialdp  
       2016-02-17 09:22:21 +08:00
    @lshero 那说明还有点内疚感。不过这种事会发生么?我个人觉得狗是改不了吃屎的。
    DesignerSkyline
        26
    DesignerSkyline  
       2016-02-17 09:54:46 +08:00
    360 托管 PKI 平台只会降低安全性(一个小小的 Google 公共库镜像都不采用 HTTPS ,还有浏览器不会提示证书是否有效,足以证明),所以为了证书的安全性,建议不使用 StartSSL 的证书
    typcn
        27
    typcn  
       2016-02-17 10:07:19 +08:00
    @lhbc 是的 360 浏览器会忽略证书错误直接打开网页,带着你的 cookie 等信息
    typcn
        28
    typcn  
       2016-02-17 10:07:35 +08:00
    @lhbc *360 安全浏览器(激素没试过)
    hanru
        29
    hanru  
       2016-02-17 10:26:02 +08:00 via Android
    这是 360 要收购 startcom 的前奏?
    lhbc
        30
    lhbc  
       2016-02-17 11:35:14 +08:00 via Android
    @ryd994
    @typcn
    找公司前端借了个测试虚拟机, 360SE 确实直接打开了证书错误的网站并发送了 Cookies
    另外,所有 360 的网站,即使没有采用 HTTPS ,也显示类似 EV 证书网站的绿色地址栏
    我只想说,作为一家安全公司,这太不专业了
    另外翻到 CAB 论坛里关于 360 浏览器的几十封邮件, 360 的回复太不专业了
    wwqgtxx
        31
    wwqgtxx  
       2016-02-26 00:28:58 +08:00 via Android
    Cu635
        32
    Cu635  
       2016-09-20 12:07:32 +08:00
    @lhbc
    不,这很专业:知道绝大多数使用 360 浏览器的用户看见绿色就直接认为是“没问题”,将来真的钓鱼的时候也是绿色就不会有人问了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   900 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:32 · PVG 05:32 · LAX 13:32 · JFK 16:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.