首页   注册   登录
V2EX  ›  SSL

奇虎 360 旗下的 StartCom 又签发了假的证书,

  •  
  •   bukip · 2017-06-04 16:21:07 +08:00 · 3299 次点击
    这是一个创建于 656 天前的主题,其中的信息可能已经有所发展或是发生改变。
    StartCom 对此回应:他们正在实现 Google 维护的 CT log (证书透明),但由于防火长城而遇到了一些问题。他们提出了一个解决方案 —— 签发了这些假的证书,据说只为了测试。
    18 回复  |  直到 2017-06-05 13:44:22 +08:00
        1
    ylx   2017-06-04 16:36:50 +08:00 via Android
    放弃治疗了
        2
    rssf   2017-06-04 16:48:23 +08:00 via iPhone   ♥ 1
    能改的了吃屎就不是狗
        3
    shiny   2017-06-04 16:55:10 +08:00
        4
    580a388da131   2017-06-04 16:56:52 +08:00
    Google 是怎么拦截到这些假证书的?
        5
    wwqgtxx   2017-06-04 17:17:34 +08:00
    @580a388da131 chrome 浏览器会上传证书
        6
    Showfom   2017-06-04 17:20:44 +08:00
    test.cn 这个米签发了证书 233

    域名: test.cn
    ROID: 20030312s10001s00063170-cn
    域名状态: clientDeleteProhibited
    域名状态: clientUpdateProhibited
    域名状态: clientTransferProhibited
    注册者 ID: xq317v49978fop
    注册者: 北京慧思德科技有限公司
    注册者联系人邮件: info@wisdom.com.cn
    所属注册服务机构: 北京新网数码信息技术有限公司
    域名服务器: ns15.xincache.com
    域名服务器: ns16.xincache.com
    注册时间: 2003-03-17 12:20:05
    到期时间: 2020-03-17 12:48:36
    DNSSEC: unsigned
        7
    580a388da131   2017-06-04 17:26:51 +08:00
    @shiny Solidot 到底又啥背景。。。
        8
    taineric   2017-06-04 17:39:54 +08:00 via Android
    我觉得根本问题是这家公司的中国团队完全没有任何安全意识
        9
    honeycomb   2017-06-04 17:55:21 +08:00 via Android
        10
    coderfox   2017-06-04 18:09:02 +08:00 via Android
    @580a388da131 Chrome 有选项,可以自动上报可能的安全事件。
        11
    rssf   2017-06-04 18:25:52 +08:00
    先故意偶发错误,测试对方反应及应对手段,逐步升级,直到关键时刻直接致命一击
        12
    redsonic   2017-06-04 18:41:25 +08:00
    谁能贴一下这个证书 ,想去 crt.sh 去查一下
    @Showfom
        13
    jasontse   2017-06-04 18:48:57 +08:00 via iPad   ♥ 1
    不管是出于什么动机,自己招黑也好,对华歧视也罢,这个时候干这种事并不明智,本身你就是已经在观察期还不知道小心点。
        15
    LanFomalhaut   2017-06-04 18:52:27 +08:00   ♥ 1
    神特么 test.cn 一天到晚想着搞大事情
        16
    redsonic   2017-06-04 20:01:04 +08:00
    @yexm0 也就是说他们为了测试 ct log,为 test.cn 签发了一个审核程度还不如 DV 的 EV 证书, 而且 test.cn 和 startcom 没有任何关系,test.cn 躺枪?


    chrome 会上传证书 有文章详细介绍吗? chromium 代码扒了一下没看到。 我觉得只是因为这个 fake 证书去 google 的 CT 查了 引起了注意吧。
    @wwqgtxx
    @coderfox
        17
    yuedingwangji   2017-06-05 12:42:35 +08:00
    请问一下什么叫假证书
        18
    Cu635   2017-06-05 13:44:22 +08:00
    @redsonic
    chromium 和 chrome 还是不太一样的,chrome 也许加上了这方面的代码。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1661 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 00:49 · PVG 08:49 · LAX 17:49 · JFK 20:49
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1