中国互联网络信息中心

知乎|如何看待 Mozilla 决定停止信任沃通和 StartCom 证书?

Mozilla 公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任 WoSign 和 StartCom 签发的新证书,最短期限为一年,一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。
调查报告称,沃通 CA 存在的部分问题不严重或不是它的过错,但还有部分问题极其严重,从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对 SHA-1 证书的限制。由于 SHA-1 签名证书不再安全,主要浏览器开发商要求所有 CA 在 2016 年1月1日之后停止签发 SHA-1 证书,然而沃通 CA 在 2016年1月1日之后仍然签发了 SHA-1 证书,通过故意倒填日期,将这些证书伪装成是在 2016 年前签发的。另一个问题是 WoSign 收购 StartCom ,即使有充足的证据证明WoSign CA 已经100%收购 StartCom CA,公司 CEO 王高华仍然拒绝承认,直到最后 WoSign 的母公司奇虎 360 现身才予以承认,但王高华又坚称 StartCom 独立运营,其原始系统没有发生改变,然而有充分的技术证据证明 StartCom 在被收购一个半月后,它就开始使用 WoSign 的基础设施签发证书。StartCom 的网站 http://StartSSL.com 在 2015年12月18日关

阅读更多

乌云|漏洞分析 :百度统计js被劫持用来DDOS Github

背景新闻:Github疑遭来自防火长城的大型DDoS攻击 0x00 背景 今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗: malicious javascript detected on this domain 我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。 0x01 细节 之后立刻发现弹窗的js居然是从github加载的:...

阅读更多

自由亚洲:中国网站大幅减少 官媒自我辩护(图)

中国官方发布互联网报告,显示网站数量在中国大幅减少,引起众多网民和站长的忧虑。专家认为中国政府审查体系不断強化,将限制中国互联网行业的发展。自由亚洲电台驻香港特约记者心语的采访报导 图片:相比世界互联网的稳步增长,中国网站数目却在大幅下降 (心语制作)   中国互联网络信息中心(CNNIC)星期四发布第26次互联网报告。报告显示,截至2010年6月中国的网站数,即域名注册者在中国境内数量(包括在境内接入和境外接入)减少到279万个,降幅13.7%。这也是该份报告最引人注意的地方,在全世界的网络都在蓬勃发展的同时,在中国却出现了负增长。根据独立的网络机构Verisign 的最新调查,全球共有2亿多个网站,其中活跃网站按年增加12%。 台湾网友Portnoy 表示,“真是神奇,竟然有国家的网站总数是大幅下降的。”   虽然在CNNIC的报告中引用NetCraft 的数据认为,全球网站数量均有所下降,但表示大部分网站是因为域名到期所致。而专家认为,中国网站数量急剧减少并非域名到期,而主要是来自于中国对域名登记实行实名化所造成的。资深网络评论员洪波星期五向本台分析表示,“中国去年开始的互联网监管趋紧,尤其是关于网站的备案审核、域名注册第一要求实名、第二是一阶段内必须公司注册,这就导致了很多网站就不合要求,不知道官方到底有什么样的目的。但这是一个肯定的结果,一个服务器的机房里面,如果有一台机器出现问题,整个机房断网的情况肯定导致很多小网站难以为继。”   本台曾经报道,今年三月,世界最大的域名注册机构GoDaddy因为中国加强了互联网域名的管理政策,要求提供域名注册者的额外信息,而取消注册新的.cn域名。   中国政府和政府旗下的网络域名管理机构CNNIC,在2009年12月起规定.CN域名注册者必须提供真实的身份资料,而随后又规定网站站长要亲自到接入地拍照备案。这些举措都大规模地挫伤了中国互联网站点业者的发展热情,大批用户转而投向其他顶级域名,例如.com 等等,有的中国用户甚至开始注册其他国家域名,他们认为如此甚至比注册.cn 域名更简便。   中国舆论监督网的站长李新德告诉本台记者,“我注册了一个域名,FanFuBai.cn,服务费要交到2012年,以前已经交完,我也在使用,但是突然接到通知,说你必须提供身份证,必须提供营业执照,然后传到域名注册的地方,然后域名才能够开通,之后把我的域名停掉。从这一点来看,域名(数量)肯定是下降了,它的审查严格了,你要注册的话,必须要提供实名制,提供身份证。”   于此同时,官方媒体并不关心网络发展倒退的问题,反倒为这些举措带来的不便辩护。官方《人民日报》星期五发表评论,将问题引导到“人肉搜索”,认为“无节制的人肉搜索使网民的个人隐私信息暴露无遗,探索并创新网络监管,成为当前互联网产业发展中亟待加强的一个环节。”   另一篇来自《北京日报》的评论则再次以保护青少年作为借口,“泥沙俱下的网络信息很可能给青少年的成长带来极为不利的危害。因此在任何一个国家,政府和社会都必须对互联网加以管理。”   一位官方支持的互联网评论员沈先生表示,“中国应当进入一个对互联网不良信息的整顿,有些人把非法的网站都搬到国外去了,很多不良网站都摆到境外。”   星期五上午由北京公安局召开的网络安全会议上,奇虎网的副总裁表示:“交互式栏目与搜索引擎是重点的审查区域,主要是关键词过滤。我们的交互式栏目有2000多个黑名单关键词,会随时随地删除用户发的有害信息。”网友們认为:中国互联网的发展不是靠审查来促进的,相反,不透明的审查让中国互联网变得毫无生气。 洪波认为,中国的网络治理暗箱操作行为和全世界的网络发展趋势并不相符,从网站的大幅缩水对社会经济和未来的负面影响十分深远,也是政治化的审查体系造成的难以估量的损失。   以上是自由亚洲电台驻香港特约记者心语的采访报导  Copyright © 1998-2010 Radio Free Asia. All rights reserved.

阅读更多

CDT/CDS今日重点

十月之声(2024)

【404文库】“再找演员的话,请放过未成年”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间