网络安全证书

知乎|如何看待 Mozilla 决定停止信任沃通和 StartCom 证书?

Mozilla 公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任 WoSign 和 StartCom 签发的新证书,最短期限为一年,一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。
调查报告称,沃通 CA 存在的部分问题不严重或不是它的过错,但还有部分问题极其严重,从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对 SHA-1 证书的限制。由于 SHA-1 签名证书不再安全,主要浏览器开发商要求所有 CA 在 2016 年1月1日之后停止签发 SHA-1 证书,然而沃通 CA 在 2016年1月1日之后仍然签发了 SHA-1 证书,通过故意倒填日期,将这些证书伪装成是在 2016 年前签发的。另一个问题是 WoSign 收购 StartCom ,即使有充足的证据证明WoSign CA 已经100%收购 StartCom CA,公司 CEO 王高华仍然拒绝承认,直到最后 WoSign 的母公司奇虎 360 现身才予以承认,但王高华又坚称 StartCom 独立运营,其原始系统没有发生改变,然而有充分的技术证据证明 StartCom 在被收购一个半月后,它就开始使用 WoSign 的基础设施签发证书。StartCom 的网站 http://StartSSL.com 在 2015年12月18日关

阅读更多

月光博客 | 为什么不要在中国注册域名

我认为,无论是企业还是个人,在做网站的时候,都不要在中国注册域名,因为这里面有巨大的安全风险,如果已经在中国注册了域名,应该尽快将域名转移(transfer)到国外,以避免风险。 政策性风险:国内注册域名的最大风险就是政策性风险,你的域名随时可能会因为种种原因而被停用,虽然这个域名是你掏钱购买注册的,但在中国,你注册的域名根本不属于你自己,你的域名随时都处于被‌‌“clientHold(域名暂停解析)‌‌”的状态,可能仅仅因为你网站上的一条留言、一个评论,就会让你的域名被永久封禁。所以,注册域名,必须在美国这样的法治国家注册,你的域名才真正属于你自己。 而在国外注册域名,除了恶意侵权之外,基本上没有什么政策风险,不会被‌‌“clientHold‌‌”,你的域名属于你自己。

阅读更多

翻墙 | CNNIC封杀自己对根证书被撤销的声明

谷歌于2015年4月1日宣布,他们将不再承认CNNIC根和EV证书颁发机构(CAs)。在第二天,Mozilla也发表博文称:CNNIC给其他公司发行不受约束的中间证书是“令人震惊的做法”,而Mozilla的产品将不再信任由CNNIC根颁发的任何证书。 Mozilla还发表了关于他们的更详细的报告。在谷歌和Mozilla于2015年3月23日曝光了几个谷歌域名使用了未经批准的数字证书之后,CNNIC并未发表任何声明。CNNIC身为证书颁发机构,却一直在实施中国的网络审查。CNNIC不仅曾是,现在也是,并且将来还是会继续实施中国的互联网审查。不出意外,上述关于4月1日和2日的新闻在中国的社交媒体和传统媒体上被封杀了。下面是关于这些公告的微博截图。请注意,在第一篇关于谷歌全面撤销CNNIC的根证书的截图中,下方有三个按钮,而在第二个截图中却有四个按钮,很明显能看出第一篇微博的转发功能消失了,可见中国当局正在如何防止负面信息蔓延上变得越来越有创意!最后这篇微博的命运和往常一样,被当局完全删除了。即便在传统媒体网站上也有一些详细介绍了CNNIC对此“毫不知情”的报道,也已经被封杀。网易的报道:“Chrome和Mozilla撤销了CNNIC CA”在发布后2小时之内就被删除。网易是中国最大的互联网服务提供商之一。URL:http://tech.163.com/15/0403/08/AM8VPOLJ000915BF.html新浪的报道:“CNNIC认为谷歌的决定是不可理解和不可接受的”被删除。新浪网是中国最大的门户网站之一。URL: http://tech.sina.com.cn/i/2015-04-02/doc-ichmifpy5387951.shtml搜狐的报道:“CNNIC谴责谷歌”已被删除。搜狐在全网Alexa排名第44。URL: http://mt.sohu.com/20150402/n410717100.shtml开源中国的报道:“谷歌撤销CNNIC和EV根CA”被删除。开源中国是中国最大的开源社区。URL: http://www.oschina.net/news/61141/maintaining-digital-certificate-security财经网的报道:“谷歌撤销了CNNIC CA;,CNNIC认为这个决定无法理解“被删除。财经网是一个独立的媒体,涵盖社会,政治和经济问题。URL: http://tech.caijing.com.cn/20150402/3854320.shtml事实上,几乎所有关于CNNIC的负面报道在中国都被封杀了。这里有上周关于CNNIC CA中谷歌和Mozilla被大规模封杀的报道。CNNIC发表了一个声明说:“CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益”。我们同样可以说,CNNIC和中国网信办(CAC)对谷歌(和Facebook和Twitter,还有更多的网站)做出的决定对中国互联网用户来说是难以理解和接受的。谷歌充分考虑和保障了用户权益—撤销CNNIC是对世界各地用户隐私和安全的一个很大的进步。CNNIC实施(并试图掩盖)互联网审查,制作恶意软件,并且在安全方面一塌糊涂。中国网信办,它管理着CNNIC,发动了多次恶意的危险的攻击,危及用户的敏感信息,劫持用户执行DDoS攻击。很多精通技术的用户再多年前就把CNNIC从可信证书颁发机构移除了。我们欢迎谷歌和Mozilla从全球吊销CNNIC的决定。同时我们希望苹果和微软能够效仿谷歌和Mozilla的先见之明,立即撤销CNNIC来保护他们的用户。FAQ你觉得微软和苹果会跟风么?我们不指望苹果能在当下站出来做些事情。苹果向来顺从中国当局的要求,我们估计他们并没有这种觉悟。微软已经采取了重要措施来反击中国当局危险的行为,我们希望他们将继续保持。如果微软和苹果不作为,你会建议人们只使用Chrome和Firefox来浏览么?是的。这是什么意思?CNNIC将继续颁发证书么?也许吧。至少现在 Internet Explorer和Safari浏览器,以及其他中国的浏览器仍然信任CNNIC CA.谷歌和Mozilla会承认任何新的证书么?不会。如果谷歌,Mozilla,微软和苹果都撤销CNNIC了证书,这是否意味着中国将不能再搞MITM攻击了?以前所有的大规模MITM攻击都使用自签名证书。 GFW可以继续使用MITM使用自签名CA攻击网站。CNNIC需要多长时间才能找回到这些公司的信任?谷歌和Mozilla已经要求CNNIC实现证书的透明性。如果CNNIC能够通过,任何人都可以使用CNNIC实时颁发的证书。因此,即使我们可能不信任CNNIC,如果他们实现了证书的透明,我们也不反对。源地址:https://zh.greatfire.org/node/1752860翻墙技术博客订阅地址及社交帐号

阅读更多

翻墙 | CNNIC发表声明谴责Google

在Google宣布旗下产品删除CNNIC根证书之后,CNNIC发表中英文声明(中文)谴责Google。声明称,Google的决定是“难以接受的”和“难以理解的”,CNNIC督促Google充分考虑和保障用户的权利和利益。CNNIC称将保障已发行的证书不受此次事件的影响。Google的Chrome浏览器在中国相当流行。源地址:http://www.solidot.org/story?sid=43561翻墙技术博客订阅地址及社交帐号

阅读更多

CDT/CDS今日重点

十月之声(2024)

【404文库】“再找演员的话,请放过未成年”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间