你们信任 CFCA 证书吗?

2020 年 3 月 9 日
 crella

cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了

用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm

图片见

关掉杀毒软件,浏览器自行拦截的提示是:

刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书

这个 CFCA 不知道风评如何?

http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA

8984 次点击
所在节点    程序员
25 条回复
qwerthhusn
2020 年 3 月 9 日
https://www.gov.cn/
这个够官方了,人家在用 GlobalSign 的
lshero
2020 年 3 月 9 日
这还算是通过了 WebTrust 审计的
感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用
dndx
2020 年 3 月 9 日
不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。
derekwei
2020 年 3 月 9 日
各种网银加金融基础设施认证都用他家的证书...
yohanechan
2020 年 3 月 9 日
当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上
但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便
大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site
eason1874
2020 年 3 月 9 日
微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。
mytsing520
2020 年 3 月 9 日
Google Chrome、Microsoft 有信任这个
loukky
2020 年 3 月 9 日
Android chrome 可以直接打开
lc7029
2020 年 3 月 10 日
不信任,用它还不如自签证书
domosekai
2020 年 3 月 10 日
中邮海外购用这个
Windelight
2020 年 3 月 10 日
中金 CA 可以說還是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。
另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。


此处中国不包括 Hongkong Post 和 Taiwan CA
Explr
2020 年 3 月 10 日
我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。
lovedebug
2020 年 3 月 10 日
自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。
whileFalse
2020 年 3 月 10 日
CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。
baobao1270
2020 年 3 月 10 日
我禁用了的,目前并无不便。
julyclyde
2020 年 3 月 10 日
@whileFalse cfca 没资格签发 gov.cn 的域名的。这属于专业类的,gov.cn 根本不会问他们做生意
Xusually
2020 年 3 月 10 日
不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。
然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。
摊手.jpg
Semidio
2020 年 3 月 10 日
@julyclyde 但是上面图里的不是 gov.cn 域名吗?
jwenjian
2020 年 3 月 10 日
CFCA 的证书为啥不信任?金融体系离不了...
julyclyde
2020 年 3 月 11 日
@Semidio 我错了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/651187

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX