Apple 什么时候会将 StartCom CA 移除出信任列表,尤其是 iOS 系统?
nvidiaAMD980X · 2016-09-29 07:09:38 +08:00 via Android · 4583 次点击这是一个创建于 2970 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题, StartSSL 的名声已经完全臭了, macOS 可以手动移除它,而 iOS 系统非越狱状态下无法移除 StartCom 的 CA ,刚才查看了下, iOS10.0.2 还是默认信任 StartCom 的 CA ……………令人不安
 |
1
SourceMan 2016-09-29 07:59:08 +08:00 via iPhone
为什么令人不安?
|
 |
3
Cavolo 2016-09-29 08:04:55 +08:00 via iPhone
cnnic 最后怎么处理了
|
 |
4
JJaicmkmy 2016-09-29 08:13:07 +08:00
@Cavolo 没记错的话,苹果现在还是信任 CNNIC 的,而且 macOS 可以手动移除所有其他证书,就偏偏不能移除 CNNIC 。
|
 |
5
Tink 2016-09-29 08:15:11 +08:00 via iPhone
只要不作恶的话没啥问题吧
|
 |
6
sinxccc 2016-09-29 08:37:08 +08:00
作为个人随便你自己怎么搞,总之自己承担验证未知网站的风险,作为系统 CA 的维护不可能轻易作出彻底移除某个 CA 证书的操作,除非最最恶劣的情况发生——目前为止还没有先例吧?
CNNIC 印象中 Mozilla 也只是不信任从某个时刻开始的所有证书。 |
 |
7
EricCartman 2016-09-29 10:07:27 +08:00
Android 好一些,已手动禁用 StartCom 和 WoSign 还有 CNNIC 的证书, Windows , MAC , Linux 上也用了这个工具移除了: https://github.com/chengr28/RevokeChinaCerts
|
 |
8
nvidiaAMD980X OP @JJaicmkmy 连 CNNIC 的官网都不用自己的 CA 了,换成了 digicert 的 CA ………不知道 Apple 是怎么想的………
|
 |
9
redsonic 2016-09-29 21:23:50 +08:00  1
我现在越狱 iOS 的唯一理由就是撤销这些 CA 的证书。
|
 |
10
bernardx 2016-09-30 23:28:19 +08:00
你移除一堆系统信任的证书,除了自己感觉不错,顺带几个用证书签名的网站打不开了,有其他任何实质性帮助吗?
难道你就从来不上非 https 的网站了? 国内又有几个 app 走的是全 https 呢 |
|
11
nvidiaAMD980X OP @bernardx 我发现我现在真的很少上非 HTTPS 的网站………而且我的 iPhone 除了几大银行的 App 外,几乎不安装大陆的 Apps , WeChat 和 QQ 之流,我只在电脑端的虚拟机中使用…………
|
 |
12
Technetiumer 2016-10-02 13:30:08 +08:00
哪天 let's encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵
comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵 |
Select Language