V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
CA 私钥泄露,系统的所有流量都能被中间人攻击。国产的一堆 CA ,多数无强制证书透明 CT 日志,泄露了也不知道。
好像鸿蒙系统内置了很多国产 CA ,是不是风险有点大
 |
1
HFX3389 1 day ago  1
你可能认为是风险,但是别人不这么认为,唯一能做的就是不用
|
 |
2
mizuki9 OP 我是说国产 CA 太多了,更重要 是无强制证书透明 CT 日志 最严重
|
 |
3
nrtEBH 1 day ago 1
问就是信创自主 国密认证
看你的使用场景 如果是个人用国内 app 都不需要从 CA 上搞你 直接手机+app 后台数据都是透明的 如果纠结隐私 换 google 手机+外卡 esim+不装任何国内软件 你的隐私很多时候你从你个人这边都没法防 上海某部门被整体拖库类似这种事情肯定大把的 |
 |
4
HojiOShi 1 day ago 6
用鸿蒙的人不会在乎这件事
|
 |
5
SURA907 1 day ago 4
参考一下沃通的事情,不到万不得已别碰
|
 |
6
paranoiagu 1 day ago via Android
安全是相对的,没有绝对的。
|
 |
7
shuaishuaide 1 day ago 1
@SURA907 我认为凡是被审计过证明可信的,就没有问题。别总拿沃通说事,沃通怎么了?根证书泄露了?伪造证书搞中间人攻击了?国外被取消信任的证书颁发机构还少吗?最有名的就是赛门铁克。企业的问题,不要上升到国家。赛门铁克是美国的,美国的 CA 是不是也不能用了?
|
 |
8
ajaxfunction 22h 23m ago via iPhone 5
@shuaishuaide 大哥,沃通伪造 GitHub 证书。你不知道吗?
|
 |
9
cybort 19h 59m ago via Android
那是必然的,要不你以为人家为什么要自己发证书
|
 |
10
jim9606 16h 41m ago
如果有人要冒领证书冒充你的网站,你其实没法阻止问题的发生,因为攻击者和恶意 CA 不需要跟你有任何往来,跟你用哪家 CA 无关。CT 的意义是让你知道你是否有被冒用(这通常还是通过第三方供应商提供的 CT 监控服务实现的)。除非客户端受你控制(你可以决定信任锚而不是让 OS 替你选一批),否则你也没办法阻止冒领证书被客户端信任。
选择支持 CT 的 CA 的意义是让你相信这个 CA 收你钱不是乱搞的,谁都能监督 CA 是不是在乱搞,不然凭啥信任这个 CA 呢。商业证书通常是有 SLA 要求的,通过合同利益,约束 CA 合规,别被主流平台处罚,进而影响用户的可用性,引发索赔。 商业 CA 是要赚钱的,只能被少数平台信任的 CA 的证书是卖不出去的。除非这 CA 完全不按商业逻辑运作非要恶心人,不然主流平台的合规要求是不可能无视的。 |
 |
11
ShareDuck 10h 50m ago
@ajaxfunction 你这个表述会让人理解为沃通故意签发 GitHub 的域名证书,但实际情况不是。实际是沃通对用户申请证书时,验证用户对域名的控制权和签发证书的域名没有严格限制一致。就是你有可能对 aaa.github.com 这个二级域名有控制权,但沃通居然够胆给你签发 github.com 这个上级域名的证书。
这事一个很严重的流程问题,但这个问题跟 Symantec 、DigiNotar 等被吊销的来说,反而是更轻微的。当然,沃通在此事之前就有些不太严重的违规操作,算是“劣质斑斑”了,当年工信部也对沃通开出了罚单。 至于其他还有很多被撤销信任的机构证书,我觉得他们的问题都不如上面几家严重,不值一提。 |
|
12
ajaxfunction 9h 29m ago via iPhone 1
@ShareDuck 看起来是漏洞,但实际沃通的大股东是 360 ,360 很大盈利来源就是劫持用户购物软件加链接分佣,360 的专业度加上他的利润来源,很难说这是意外
|
 |
13
NewYear 1h 15m ago
没有国内 ca 在信任列表才是真的风险大
let's encrypt 上一直就有一个争议,到底该不该给大鹅的用户签发证书,如果大家都不给他签发,他们又没有自己的 CA ,怎么办? 说到底别太把自己当回事,人家冒着违规都要劫持你,那你其实反而应该担心其他的,而不是这个。 并不是说在国内就不需要遵守规则。 |
Select Language