调查下，你们把 Wosign 根证书放到不信任列表了吗

没有。而且CNNIC我也没动。

我相信有伪造证书的话HTTPSEverywhere会提示的。我觉得CA参与SSL中间人攻击只会让它很快被发现然后被所有厂商放在不信任列表中，没有人那么蠢自断财路。

@squid157 赞同，不多说鸟，怕被B，哈哈哈

同楼上 没有
因为这能一直赚钱 不信哪个CA敢作大死

CA这种东西，一旦作恶，赖都赖不掉。签名在那里呢。

所以没人会冒着被浏览器吊销的风险搞事。。

怎么可能，好多网站都是这个证书

楼主想表现一下逼格，你们也不配合下。

@NewYear
@wwwww818
@9hills
@wwqgtxx
@800126
我自己也没有放到不信任列表，纯粹的统计而已，不带有主观意味。。。

我是设置成访问时弹出提醒，这样既不会影响现有的网站，也能在将来MITM的时候起到防御效果。

CA出问题并不一定是WoSign出问题，而是有可能WoSign签发的CA证书再去签发有问题的证书。

@squid157
@wwwww818
@9hills

@msg7086 wosign的pathlen不是0？WoSign不是根证书颁发机构吧。

另：怎么每次弹出？

@squid157 之前不是有个360CA就是WoSign签发的么。
弹出提醒是Opera的功能。IE和Chrome应该是没有的。

@squid157 wosign有两个预埋根证书，一个是收购的，一个是自己的
另外wosign还买了几个交叉根

@geekzu 各系统和浏览器居然那么信任WoSign....

@squid157 通过审计了，为什么不信任？只是因为是来自中国的？

@geekzu 想当年Firefox内置CNNIC，吵了很久。我当然是没有说不信任，只是随便感慨一下。

从不信任大陆签发的证书，到处劫持干扰欺骗封锁的中国相关部门，有什么资格签发证书？！

@mackyzhan 唔，这个并不是gov控制的

#13 @geekzu 我相信 /t/169672 这个帖子你是读过的，那么你应该知道 WoSign 曾经给 360 签发过中间 CA 证书。
请问谁来审计 360 CA？
或许你愿意相信这个流氓公司，或许普通民众愿意相信这个流氓公司，可惜我不愿意。
既然 WoSign 滥签发，那为了防止信任链下的任一机构作恶，直接 ban 掉整个信任树是最快的了。

@msg7086 +1.

之前是将信将疑。

直到看见这个360的证书，啥也不说了，友尽。

连同中间证书全部拉黑。

@msg7086 总觉得你的吐槽点不太对啊，一个商人为了做生意卖给某流氓公司PKI然后就这样躺枪了...。按照这样说的话别家买了PKI的也能做坏事了？伪造证书这点应该是完全不用担心的吧，毕竟被发现了就是整个被删。

当然我比较想吐槽的是某CA的广告行为...简直是上个世纪的方法...

@mafuyu 因为信任链的一环出问题而ban掉整个信任链并不是很过分的事情。
在欧美至少有法律保护，出了问题可以打官司让你赔个痛快，也有保险公司撑着，造成的损失都有人赔。
在一个非法制国家里，谁来保护你的权益？
说个难听点的，阿富汗/伊朗/巴*斯坦某科技公司推出了新的根CA，换你你愿意信任吗？

PS: 这次的xoxo事件又让中国在SSL圈子里的地位下降了 ;)