StartSSL 的 PKI 平台已由奇虎 360 托管

删证书保平安

上次看到用 360 的服务器时就拉黑了根证书

完，还是 le 吧…

360 又不是恶魔，何必这样，各种拉黑又能怎样？值得去窃取根证书监听内容的网站会用 StartSSL ？

药丸啊 赶紧转 le （虽然我现在用的是 cf 家的 ssl ）

吃枣药丸。去年出这个公告的时候就不再用了。。。

@aivier 360 就是互联网的恶魔

@aivier 360 不是惡魔誰是惡魔？

@aivier 360 就是互联网的恶魔

这么早就说不安全，会不会给人一种钦定、硬点的感觉？各大浏览器厂商都盯着， 360 要是作死 StartSSL 根肯定被拉黑。不要总是想着搞个大新闻。

卧槽。。。。回头就去换掉

360 是时候加入 Certificate Transparency 了。 2333333333

貌似只用了 360 的 cdn 吧。大惊小怪。

系统上竟然有 3 个他们家根证书，已经全部拉黑

@songjiaxin2008 360 做的死还少吗

就是不给流氓半点机会，不把用户当人，我们还把他当人看？
在有能力选择的时候，一定不给流氓半点机会！

@chemzqm 就事论事 360 并没有在证书上搞什么事情吧

交给 360 等于交给郭嘉，另外还有 wosign 。

@redsonic 正解。 360 和 P.R.C.公安部穿一条裤子的。红衣主教和部委里的关系熟的很。

只是前端 CDN 开启了 360 而已，他们用证书验证回源就可以保证私钥不泄漏了。
我依然信任 startssl

如果 CA 被 360 管理运行的话，那么 360 可以想搞谁就搞谁——因为它是 CA ，可以撤销你的证书，可以换一个证书给你，还可以做更可怕的事情——因为它是 CA

@iF2007 如果真是这样，真可怕。

据说 360 浏览器即使证书错误也会忽略然后请求页面的？求证。
另外，证书错误会发送已保存的 Cookies 吗？

@lhbc 不会发送 cookies
要先 tls 握手成功才有 http 部分

对数字厂有点太较真了吧？突然想万一某天数字厂想恶心人给 openssl 和 libressl 捐点款，然后接下来该准备怎么弄？

@lshero 那说明还有点内疚感。不过这种事会发生么？我个人觉得狗是改不了吃屎的。

360 托管 PKI 平台只会降低安全性（一个小小的 Google 公共库镜像都不采用 HTTPS ，还有浏览器不会提示证书是否有效，足以证明），所以为了证书的安全性，建议不使用 StartSSL 的证书

@lhbc 是的 360 浏览器会忽略证书错误直接打开网页，带着你的 cookie 等信息

@lhbc *360 安全浏览器（激素没试过）

这是 360 要收购 startcom 的前奏？

@ryd994
@typcn
找公司前端借了个测试虚拟机， 360SE 确实直接打开了证书错误的网站并发送了 Cookies
另外，所有 360 的网站，即使没有采用 HTTPS ，也显示类似 EV 证书网站的绿色地址栏
我只想说，作为一家安全公司，这太不专业了
另外翻到 CAB 论坛里关于 360 浏览器的几十封邮件， 360 的回复太不专业了

@songjiaxin2008

@lhbc
不，这很专业：知道绝大多数使用 360 浏览器的用户看见绿色就直接认为是“没问题”，将来真的钓鱼的时候也是绿色就不会有人问了。