要删除 Wosign 沃通的 SSL 证书吗？最近 SSL 伪造的事件不少

关于你最后的问题，V2EX 的规则是，有人回复的主题就不能被删除。

一句话：我还没见过像印度一样利用验证过根证书的证书来进行 MITM 的事件。所以无论是 CNNIC 和 WoSign 还是 12306 及各类网银证书，都信任

CNNIC到目前为止还没做什么出格的事。

@Livid 但是楼主又是可是删掉回复的是吧.

@ChanneW 回复和主题只有管理员可以删除。

没懂什么意思。wosign是商业公司，颁发假证书这种事应该不至于吧，他还要吃饭。

WoSign 应该要定期接受 StartSSL 审计，问题不大。最怕的是 CNNIC 这种 Root CA，还有 Sinorail Certification Authority 这种自己安装的 CA。

不能理解安装12306证书的行为，一年买不了几次票，买票的时候点一下继续访问不就可以了吗？

这个问题讨论过多次了，受信任的证书机构，是受监督的，只要谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了，以前有信任的证书颁发机构被黑的情况，结果就是大家都不敢信任他了，后果很严重！

@YonionY 5块钱ssl证书都买不起，你要淡定

@whywhywhy 随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。

比如它签发一个SHA-1签名的证书用于MITM，你截取了这张证书说是它伪造的，它反咬你一口说你背后有XX提供技术资金支持，花点钱破解伪造证书来构陷它。
在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。

@Quaintjade 我对这个还真心不怎么在意，反正chrome和ie和ff能自动更新，银行自己也会注意，到不安全的时候自然就会采取措施了，比起这个，我更在意我肚子上的赘肉。

楼主多虑了。

向楼主问几个问题：
1. CNNIC SSL不可信，你有伪造的证书的证据吗？
2. WoSign SSL不可信，你有伪造的证书的证据吗？

这是一个法制社会，谁主张谁举证，你拿不出证据，你的主张就不成立。




另外，从国际标准来说，
CNNIC SSL ROOT 和WoSign 1999 两个根证书，每年均需经过WebTrust审计，对系统安全性、PKI可靠性等多项指标进行评级。
如果有任何一家通过WebTrust审计的CA欲级任何攻击用户安全、威胁SSL信任体系的组织个人提供方便，WebTrust会立即进行事件评估，紧急通知各大操作系统（Microsoft、Apple、Linux Branches...）和各大浏览器厂商发布强制补丁，取消能做恶CA的信任。
历史上存在过一次相应的事件，荷兰的DigiNotar被伊朗黑客攻击，颁发国几个Yahoo.com子站和Google.com子站的伪造证书，被用户举报后纷纷被各大浏览终端、系统厂商和谐掉，然后这家公司就破产了。


如果CNNIC SSL胆敢做出类似行动，不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！

退一步讲，WoSign虽然是一家商业公司，没有政府职能，但一旦被发现有欺诈的痕迹，迅速这家公司也会破产，其累计数据的信任资源和品牌投入毁于一旦，得不偿失！


综上，楼主多虑了。




________________________________________
xoxo 原创,
未经授权，禁止转载.

@whywhywhy 这里指的显然不是银行。


@xoxo
“不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！”

TSSN...
美国以色列搞伊朗时就造过假证书，然后呢？

假证书搞垮一家证书商还有可能，影响经济坏境什么的是想多了。
而且如我在11楼所说，接下去两三年，就算你抓住了那张证书，都难以完全证明那是证书商签发的。

总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。

@Quaintjade 这么说吧，你删不删都没意义，为什么没意义？命令qq公司给你下载个临时的证书机构在你电脑上，命令360公司下载个证书机构在你电脑。命令你电脑所有国产软件公司导个证书轻而易举。完事后还能自动删除。不留痕迹。

你电脑一般来说还会装有银行的，支付宝的认证机构。反正信任的机构不是一个两个，你自己可以去翻

你删，你尽情的删。

我为什么我说轻而易举？因为什么事情都得看是站在什么角度去处理，从国家的角度去考虑得失，企业又如何能不配合？
换句话说，给你1亿让你离婚你离不离？这是答应的结果，不答应的结果，呵呵，呵呵，很多事情不是道理、正义、和谐就能赢的。讲道理有用，那还训练什么军队，搞什么核弹？全世界几百个国家讲讲道理，世界和平就到来了！？

企业一配合那还了得！导个证书几行代码就搞定的事情。

不答应？谷歌还能退出中国，你叫腾讯叫360给我退出中国看看？

你们只考虑到一个信任机构被装在电脑了，你可想过没有那些装在你电脑上的软件，给你装个证书进去是何其容易？

非要这样去恶劣的想，你还真的太低估了，任何人都是没办法和国家为敌的，你想到的永远是片面的。

或许你可以不用这些软件，但是你永远无法阻止所有人不用……就算你不用这些，也保证不了任何软件都不存在后门，因为后门真的很容易……也就是几行代码的事情。

总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。

@whywhywhy
你又想当然了。
实际上我删过，然后发现国内这些证书删掉后对网银、支付宝一点影响都没。
明白了吧？因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书（忘了哪个域名），用自签证书只是因为把真证书部署在人家CDN上有风险。

完事后自动删除，说得好像轻轻松松，但加证书就是为了常驻一段时间（否则既然能塞根证书，什么权限不能有？），这段时间内就有机会被抓。

然后你后面的那一大堆完全是在无限扩大概念，却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性，反观你举的那些例子全都只是在极端情况下有可能。

找到了，12306由Verisign签发的证书： https://epay.12306.cn/
用自签证书的另一点理由是，有些证书（尤其像verisign之类的OV以上级别）会限定IP数量，添加IP要加钱，这样CDN就太费钱了。

@Quaintjade 你就是想说，我家里的门上有一把锁，为了防止万能钥匙开启，干脆就把钥匙孔封住了，于是你认为安全了，但是强盗要进你家门，直接拿炮轰开就好了，会和你拿钥匙吗？（删除国内证书机构，自认为安全）

平白无故的谁又来拿炮哄你家门？花这么大成本对付你有什么好处？（花大成本去伪造，你值得谁去这么做？）

做一件事情之前，先考虑下得失，先考虑下前因后果，你总是把自己列为重要人物，国家要追杀你，要监听你……（你有被害妄想症吧）

你是不是想太多了？就算监听，你又有什么特别的可以监听的？你上个1024网有什么好在意的？你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多，你觉得自己有什么可以被监听的，有什么独特的，事实上你也就一普通人，你有的别人都有，你在做的别人都在做，你所有的缺点，欲望，贪心，恐惧，无安全感，在别人身上也都有。（你在自己眼里很特别，但是在别人眼里，你也只是凡人一个，就算你在某方面很强悍，但是进入到尖端人才的圈子里，你又能位列第几？）

就算你有三头六臂……那又有什么奇怪的，双头人都出现不止一个了，双性人也证明是存在的（就算你真的很特别，特别的人你也不是第一个存在）

@whywhywhy
你到底有没有看清我在谈论什么？
我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！

我在说的是，CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生，这就是我在说的。我提到的几十万美元是反咬时可用的借口，实际上根本没人付出这笔钱，懂不？

你说的一切都是建立在伪造成本过高、得不偿失的基础上的。但如果成本几乎为零，而且是非针对性的大范围覆盖，那就有可能发生——参考某墙。
别以为你要有多特殊才有人监控你。没人有意要监控你，只是顺便把普通的你覆盖了而已。

@Quaintjade
"我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！"

"CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生"

"但如果成本几乎为零，而且是非针对性的大范围覆盖"

"没人有意要监控你，只是顺便把普通的你覆盖了而已"



从你的文字里我明白了这几件事情，没有人在意我，我只是被无辜的覆盖，这样的操作0成本。



****既然我是无辜的，既然不针对我，我也是守法公民，我担心个毛线？被监听一下劫持一下又有什么关系？****


另外"CA可以零直接成本地签发假证书“，风险也是成本的一种好吗？我从楼上丢个石头下去，砸死人也是零成本的，但是风险呢？风险难道就不是成本的一种？吊销资格的结果是什么你懂我懂大家都懂。

全世界那么多国家有CA证书颁发的机构，谁都有可能伪造，那何必搞什么信任列表？你直接让大家清空就好了。（任何一家都无法完全避免人为造成伪造证书的事情）