github.com的证书变自签名的了？木有第三方了？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4661 天前的主题，其中的信息可能已经有所发展或是发生改变。

而且是新签署的。

第 1 条附言 · 2013-01-26 20:14:33 +08:00

正规的证书是这样的，请大家核实

我的截图（通过vpn连接）

@liuhang0077 在11 楼贴的截图

木有

变自

GitHub

29 条回复 • 1970-01-01 08:00:00 +08:00

sNullp

2013-01-26 19:24:47 +08:00

我这里是Digicert签署的。。
lz谨防中间人攻击。。

wissen

2013-01-26 19:28:34 +08:00

The site's security certificate is not trusted!
北京联通

run2

2013-01-26 19:33:50 +08:00

上vpn连了下，

上面那个证书确实是假的。不是连不上Digicert 造成的。

elgoog

2013-01-26 19:35:23 +08:00

随手打开，chrome提示：该网站的安全证书不受信任！

gucheen

2013-01-26 19:47:23 +08:00

刚刚还在想是什么问题。看来很普遍啊

wingoo

2013-01-26 19:51:13 +08:00

上海联通也是这问题

shao

2013-01-26 19:54:00 +08:00 via iPad

已经信任的怎么办？有危害吗？

jkeylu

2013-01-26 20:02:16 +08:00

上海电信同样，
vpn上就正常

wy315700

2013-01-26 20:06:48 +08:00

不会真被攻击了吧

run2

2013-01-26 20:10:55 +08:00

已经信任的话，就是你每次push都会经过那个‘中间人’，没准还push不上，因为他们可以伪造服务器，这货是偷大家代码的么？呵呵

@shao

liuhang0077

2013-01-26 20:11:26 +08:00

NoahShen

2013-01-26 20:25:14 +08:00

我也是，push的时候报错
error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none while accessing https://github.com/.../.../info/refs
fatal: HTTP request failed

AntiGameZ

2013-01-26 20:28:57 +08:00

。。。作假也做的认真点啊，起码搞个真实的CA啊，弄个self-signed的算什么事。

突然想起来，不知道铁道部的CA证书买了没有

chainkhoo

2013-01-26 20:30:05 +08:00

已经进不去了被chrome阻止了

该网站的安全证书不受信任！
您尝试访问的是 github.com，但服务器出示的证书是由您计算机的操作系统不信任的实体所颁发。这可能表明服务器已自行生成了安全凭据，Google Chrome 浏览器认为其中的身份信息不可靠；也可能表明攻击者正试图拦截您的通信内容。
您无法继续操作，因为网站经营者已请求提高此域的安全性。

run2

2013-01-26 20:32:29 +08:00

其实cnnic有CA的，悄悄进村的，前段时间看到别人的blog文提到，才把cnnic列为了不信任

@AntiGameZ

adspe

2013-01-26 20:53:30 +08:00

确定中间人攻击。GFW的服务器果然不是盖的

013231

2013-01-26 20:57:08 +08:00

@sobigfish 還有個"China Internet Network Information Center EV Certificates Root"也要小心.
http://v2ex.com/t/57720

kylefeng

2013-01-26 21:05:46 +08:00

禁用掉 CNNIC Root 证书的信任后，即可正常访问。

nbndco

2013-01-26 21:44:25 +08:00

@kylefeng 禁用还是上不去啊

enj0y

2013-01-27 08:43:01 +08:00

GFW与CNNIC的智商捉急。

swulling

2013-01-27 08:47:40 +08:00

我倒希望CNNIC主动出手签名一些假证书，这样直接把证书保存起来然后宣传宣传就可以让CNNIC的根证书失效了

cyr1l

2013-01-27 10:52:00 +08:00

我这里不翻墙上不去啊. 北京不知道什么运营商.

run2

2013-01-27 11:34:28 +08:00

应该是请求太多，‘中间人’服务器崩溃了，普通http 301 说明 github那边服务器没问题

｀
curl http://github.com
<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>

｀

ratazzi

2013-01-27 11:42:58 +08:00

@sobigfish 攻击没持续多久时间，你这 301 只是 http 到 https 的跳转而已

run2

2013-01-27 12:28:16 +08:00

@ratazzi 是的，但我这完全连不上https，（http连的上，https连不上）说明还是在被｀中间人｀啊

hyq

2013-01-27 12:30:06 +08:00

我在北京，这里恢复了

wwqgtxx

2013-01-27 17:20:07 +08:00

我这里一切正常，大概是chrome的防护比较完善吧，中间人攻击很快就被大家知道了

shenzhuxi

2013-01-27 20:03:36 +08:00

Mozilla Bug 542689 - Please remove CNNIC CA root certificate from NSS
https://bugzilla.mozilla.org/show_bug.cgi?id=542689

https://bugzilla.mozilla.org/show_bug.cgi?id=542689#c164
"I had been tracking this bug report (despite it being closed) because I agree the CNNIC root should indeed be removed from NSS. However, the hysterical tone of some comments and the crude language of others means that I will no longer care about this. "

iwege

2013-01-30 10:42:37 +08:00

在mac上，证书是随系统走的，mac上的三浏览器，safari、chrome、firefox，只有firefox证书是自带的。所以很麻烦。