都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

所以 fancy111 到底是怎么操作的，连上 WiFi 就能中间人攻击 HTTPS ？

@fancy111 首页 http 也有安全隐患的，比如中间人截获后把登录页面给你导向另一个假的 url。不是所有人都检查地址和证书的

@fancy111 #39
建议仔细了解一下 CA 的运行机制，以及为什么不要随便安装根证书

@fancy111 大神，请你有空做一个路由器篡改 https 的去广告程序行不行，很多人包括我是愿意付费的
现在的去 https 广告程序太弱鸡了，一定要每个客户端都装根证书才行
如果你说的是真的，什么 koolproxy，adbyby 的开发者都是弱鸡，这么简单的功能都搞不定

@terrytw 你真是逗啊，为什么我要去做去广告的？我为什么不做加广告的？实际上这个早就有人做了。
你去想想为什么有的网站你进去会有注入的广告代码，还有为什么某些软件能监控你的上网记录、聊天记录。
能做出来的人难道要公开这些给你们吗？

跑个题，建设银行的风格竟然是我看过的银行门户中最舒服的一个，而且 chrome 可以免插件登陆，相比较而言工行、农行那些真特么垃圾啊。

@fancy111 nbnb，感觉层主重定义了 https，“劫持 DNS”、“假证书”、“中间人”·······怕不是用了华为手机直接修改根证书

我看成 BBC

围观，这贴里某人承认自己错了好难，可能他是 CNNIC 的

国内有自己的 ca 这种说法吗

www.分割 gov.cn 也是 http

根据谷歌官方安全博客报道和 Mozilla 官方博客报道，谷歌发现 CNNIC 颁发了多个针对谷歌域名的伪造 CA 假证书。这个名为 MCS 集团的中级证书颁发机构发行了多个谷歌域名的假证书，而 MCS 集团的中级证书则来自中国的 CNNIC。

　　该证书冒充成受信任的谷歌的域名，被用于部署到网络防火墙中，用于劫持所有处于该防火墙后的 HTTPS 网络通信，而绕过浏览器警告。

@zongren 有啊，CNNIC 和 WoSign，都因为违规签发伪证书被主流浏览器吊销了

我有个疑问想请各位大佬帮忙解答，如果连上了 open wifi，用 DNS 劫持把 A 网站域名解析到了骇客搭建的 B 网站，B 网站有 HTTPS 证书，且反代到 A 网站，手机端有什么好的识别方式么？或者简而言之，现在一堆反代 1024 的站，不看域名，有好的分辨方式么，如果 DNS 也被劫持了，是不是更难分辨？

@fancy111 我想知道只有路由器加了根证书，客户端不同时加根证书浏览器是怎么信任的？

@zongren #70 现在还剩下一个中国金融认证中心(CFCA)证书

@baobao1270 然而，驱动有的写得不行。比如不是主流的 win81 就蓝屏。我直接找到对方公司。直接给了不加载驱动的版本-_-!。而且是多家用的同一个。

别问，问就是中间人劫持。我管它什么浏览器的证书信任体系，我 Wifi 上一个自签证书统统干掉。什么，你说实现一个？你以为你谁啊，我凭什么给你实现。

@chengzi168 只有你初次访问 A 网站用的是 http 连接而且你没有介意域名变了，才能生效

@chengzi168 不用你识别，正常的浏览器都会警告证书错误。正常反代网站是用的反代域名 B 的证书，而不是被反代的源站域名 A 的假证书。不借助 CNNIC 和 WoSign，B 站是不能签发得到 A 站的证书的