关于监控证书

一般企业的做法是把自定义CA装到机器上，域策略很容易这么做。装自己的CA是没问题的，但CNNIC这次的那个子服务商的做法是不允许的。

如果没有MITM监控，内网就搞不定HTTPS

实际上现在杀毒软件为了监控HTTPS流量也需要装一张自签名证书来进行MITM，否则只能等到TLS里的内容解密以后它才能看有没有病毒


然后现在还有一个叫做证书Pinning的特性
就是对一个TLS或别的加密协议指定仅能使用某个CA发行的证书

看了下沃通的介绍，大致意思是在企业/类企业环境中，需要给自己的产品/域名打签名，因为部署自己的CA麻烦，还存着兼容性问题，于是是产生了这种中级证书机构。Google的也是如此，还有戴尔也有，其他的忘记了。

虽然没有明说，但是有限制签名数量，或者对签名的域名范围进行限制/审核，比如签名域名的数量有限制，那么问题就出来了，要达到这种限制，必然要在沃通自己的平台上签发证书（猜的）。以达到限制签名数量之类的情况。

价格估计便宜不到哪里去，是不是任何一个企业都可以呢？这个不清楚，我认为是要看限制标准和费用标准，不同的标准，未必是不可以的，但是签名范围肯定是有所限制的。

然而CNNIC这次就是疏忽（猜测），才导致这种事情发生。

说完了。