支付宝交易记录的电子回单 PDF 数字签名使用了不可信的 CA 证书

2019-12-29 12:11:46 +08:00
 AES256GCM

按照支付宝官网帮助文档里的说法,电子回单 PDF 的数字签名 CA 应该是 CFCA:

然而,目前测试结果,无论是从网页版还是手机 APP 申请的 PDF 电子回单,内附的签名都是浙江省数字认证中心 ZJCA 颁发的,而这个 CA 是不被操作系统和 Adobe Approved Trust List 信任的。

3107 次点击
所在节点    全球工单系统
4 条回复
xgfan
2019-12-29 12:37:30 +08:00
好像没啥问题。
按照《 xxxx 电子签名法》……权威第三方认证服务机构……
显然浙江数字认证中心,属于国内权威第三方啊。
可不可信都是由人来决定的,支付宝 /法律觉得浙江数字认证中心可信。
AES256GCM
2019-12-29 12:46:56 +08:00
@xgfan emm,这不是一个法律问题,是一个安全问题。用不在操作系统信任列表里的 CA 签名,就存在签名被篡改而用户难以察觉的风险。
chinvo
2019-12-29 12:47:38 +08:00
这个 zjca 应该是 cfca 的中继根

cfca 也没在系统和 Adobe 信任列表里来着
7654
2019-12-29 12:52:19 +08:00
不管在不在系统里,你信任这个中间机构,那就是可信的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/633275

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX