@ruojiner
好像我收到的短信验证码都是 1065 和 1069 开头的，还没见过 1066 开头的。
不知道有没有哪个大厂用 1066 来发验证码可能被误伤？

@Tink
放心，支付宝有“安全大脑”，换个人就用不了 http://ww4.sinaimg.cn/bmiddle/62e721e4gw1et02g5wksrj200k00k3y9.jpg :doge:

Symantec/Verisign 只能说是 Too big to fail ， Google 也只能放些狠话，没法连根拔。

看了关于 WoSign 的 Mozilla Wiki 和 Mozilla 的报告，各种欢乐。 WoSign 这么逗逼居然都能当 CA ，而且这么一堆 Issue 现在才被暂时撤销 CA 。
https://wiki.mozilla.org/CA:WoSign_Issues
https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview#



Richard Wang 的英文水平就不吐槽了， CEO 直接上阵在 Google 讨论也不吐槽了，列几个有意思的：
1. BR 里面的“ should not ”一词意思是不推荐（中文大概应该叫“原则上不能”），但有理由的话还是能做的，所以 Issue D 不算违反 BR 。

2. Google 联系 WoSign 时，很坏地不直说 WoSign 的 CPS (Certification Practice Statement)有哪些问题，而是让 WoSign 自己检查签发的证书与 CPS 有什么问题。问题列出来之后， WoSign 很快修正了自己的 CPS 。
Mozilla 评价说它不是按 CPS 签发证书，而是证书怎么签， CPS 之后就怎样更新。

3. 关于 Issue N （用户可以添加非自己控制域名的 bug ）
WoSign: 我们 TOS 有写着，如果用户发现证书签发了错误的域名，应该立刻联系我们吊销啊。你看，申请证书的这一步，用户必须打勾同意我们的 TOS 呢。
Mozilla: 如果我是攻击者，我才不会关心你的 TOS 呢！(潜台词:MDZZ)

4. 还是 Issue N
WoSign: 我们员工发现过证书包含错误域名，但认为这只是不正常的个案，没有报告 bug 。
Mozilla: 这要是真的话，那简直是醉了 (This is amazing, if true.) 如果你的员工认为签发错误证书不是大问题，这可是相当严重的错误 (quite badly wrong)。

5. WoSign 签过 SM2 算法证书（ SM2 不是 BR 允许的椭圆算法），而且序列号还与另外的证书相同。 WoSign 说自己在中国注册，必须遵守当地法规，积极配合中国的浏览器测试 SM2 算法能否被国际 CA 使用。
Mozilla: 我表示怀疑……

6. WoSign 发了事件报告，结果报告中的截图又被发现另一个小 Issue （使用了不安全的旧版本软件）

7. WoSign: 有问题的证书只会签给中国市场 (C=CN)
Mozilla: 滚……

8. WoSign: 关于 62 张日期有问题的证书我们一一询问和确认了，都是程序问题，不是人为的。
Mozilla: 哦？那就很有趣了，我们来看个例子……（照着 WoSign 的说法构造出了一个很荒谬的可能性一，同时构造了 WoSign 人为签发伪造日期证书的可能性二）

@Tony
你贴的这个 TD LTE 只有 B41 ，移动 4G 的支持会很差。不过 Pixel 似乎有两个版本的网络支持：

GSM: Quad-band GSM
UMTS/WCDMA: B 1/2/4/5/8
CDMA: BC0/BC1/BC10
TDS-CDMA: N/A
FDD LTE: B 1/2/3/4/5/7/8/12/13/17/20/25/26/28/29/30
TDD LTE: B 41
LTE 2xCA: B2+B2, B2+B4, B2+B5, B2+B12, B2+B13, B2+B17, B2+B29, B2+B30, B4+B4, B4+B5, B4+B7, B4+B12, B4+B13, B4+B17, B4+B29, B4+B30, B5+B30, B7+B7, B12+B30, B25+B25, B29+B30, B41+B41
LTE 3xCA: B2+B2+B12, B2+B2+B13, B2+B4+B4, B2+B4+B5, B2+B4+B12
B2+B4+B13, B2+B4+B29, B2+B5+B30, B2+B12+B30, B2+B29+B30, B4+B4+B12, B4+B4+B13, B4+B5+B30, B4+ B7+ B12, B4+B12+B30, B4+B29+B30, B41+B41+B41
RoW
GSM: Quad-band GSM
UMTS/WCDMA: B 1/2/4/5/6/8/9/19
CDMA: BC0
TDS-CDMA: B 34/39
FDD LTE: B1/2/3/4/5/7/8/12/13/17/18/19/20/21/26/28/32/
TDD LTE: B 38/39/40/41
LTE 2xCA: B1+B3, B1+B5, B1+B7, B1+B8, B1+B18, B1+B19, B1+B20, B1+B21, B1+B26, B1+B41, B3+B3, B3+B5, B3+B7, B3+B8, B3+B19, B3+B20, B3+B28, B5+B7, B7+B7, B7+B8, B7+B20, B7+B28, B19+B21, B20+B32, B38+B38, B39+B39, B39+B41, B40+B40, B41+B41
LTE 3xCA: B1+B3+B3, B1+B3+B5, B1+B3+B8, B1+B3+B20, B1+B5+B7, B1+B19+B21, B1+B41+B41, B3+B3+B5, B3+B3+B7, B3+B3+B8, B3+B7+B7, B3+B7+B8, B3+B7+B20, B3+B7+B28, B7+B7+B28

https://madeby.google.com/phone/specs/

LZ 反正都已经在国内注册公司了，出点钱上企业网络就行了啊。

@lslqtz
www 包含裸域这倒是不知道，会试试看。

@lslqtz
第一，就为了覆盖那百分之几还是百分之零点几的用户么？
第二，不太清楚 GeoTrust 是怎样申请的，或者说是腾讯的 CDN 吗？反正申请的 Verisign 根的证书并没有 GeoTrust 交叉根， Firefox 显示就是 TrustAsia 。
第三，这是机制本身的薄弱环节，不要用实际上几乎不会发生来反驳。
第四，我还真试过提交工单，结果回复说目前无法吊销：
http://p1.bpimg.com/1949/aa6b9ec1c00ea457.png

@lslqtz
这个叫做“亚洲诚信 TrustAsia ”的中间 CA 并不是 Symantec(verisign)的子公司或经销商，而是 Symantec 的客户。
http://www.symantec.com/resources/customer_success/detail.jsp?cid=trustasia
http://www.tianyancha.com/company/2311101899

哦对了，只能签发二级域名证书，当然这不是黑点，因为本意是给 CDN 使用的。

@lslqtz
如果签发机构留存你的私钥并利用(或有意无意泄露被他人利用)，那么可以利用已签发的证书+私钥来做中间人攻击而不被察觉。如果只有 CSR 而没有私钥，那即使想做中间人攻击也只能签发另一张证书，而这张证书的指纹与签发给你的那张不同，是可以被察觉和留作揭发证据的。
而且腾讯云的证书+私钥是直接从腾讯服务器领取的哦，不是从 Symantec/TrustAsia 的服务器上领取的。

你不小心把自己私钥泄露了，却无法吊销这张证书，那不是很尴尬吗？就像丢了身份证在技术上无法阻止捡到的人继续使用，这个傻缺设计已经被吐槽 N 久了。

另外，虽然 IE 和 Edge 显示的是由 Verisign 认证， Firefox 显示的只是 TrustAsia 认证，因为中间证书的签发组织 O=TrustAsia Technologies, Inc.
相比之下，人家 AlphaSSL 虽然也是子品牌，显示的认证信息却是 GlobalSign nv-sa

说白了就是张免费证书，有什么优越感？

@lslqtz
然而腾讯云不能自己提交 CSR ，不能吊销。

@murmur
事实上比特币具备货币的基本属性，至少目前具备。你所说的并不能证明其不是货币。
现代货币早已和黄金脱钩了，无非是以国家信用、实力来担保承兑，国家衰败了自然就变成废物。
比特币则依靠大量参与者使用其进行各种交易来维持其承兑能力，等缺乏交易需求、难以交易的时候就变成废物。

比特币的最大问题在于通缩的属性，这点会导致其无法长久作为货币存在。

@MinonHeart
腾讯云的证书，不能自己提交 CSR ，不能吊销（联系客服都不能吊销），黑到死的节奏。

简单来说，正确答案是赚 2 元，其他都是扯淡。

3 元没发现自己本来有 9 块钱。

GDP 是讽刺。事实上 GDP 只算第一次卖给消费者。如果这个人本身是消费者，那么 GDP 就是 8 元；如果这人是二道贩子， GDP 至少是 11 元。
注：生产者卖给消费者后，价值变动都不计入 GDP ，所以那些说股票炒高 GDP 的都是扯淡（只有交易手续费佣金等算 GDP ）。

1 元的把买入卖出都算了两次。

至于机会成本，没备选方案哪来机会成本？
你要扯机会成本，我还能扯货币时间价值、鸡生蛋蛋生鸡、呆若木鸡、唧唧复唧唧、木兰 MJJ 呢。。。

年娇处，村通网， LZ 买电脑，大清早亡了。

公众号说 IBM 就是 IBM ？公众号明天说“安倍晋三扬言中国人都是傻逼，没人敢答这道题！”，你是不是明天要去炸 XX 神社了？

上海电信 tk 域名解析已阵亡，上海联通没有问题。

@designer
出自《搞笑漫画日和》：“我不是变态；就算是变态，那也是冠有变态之名的绅士！”
https://zh.moegirl.org/%E7%BB%85%E5%A3%AB