V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hing
V2EX  ›  分享发现

360 浏览器创建自有根证书,有权移除任何证书 https://www.expreview.com/65889.html

  •  1
     
  •   hing · 2018-12-19 08:35:58 +08:00 · 4536 次点击
    这是一个创建于 2166 天前的主题,其中的信息可能已经有所发展或是发生改变。
    25 条回复    2018-12-20 11:51:19 +08:00
    pexcn
        1
    pexcn  
       2018-12-19 08:37:27 +08:00
    一个基于 chromium 的套壳浏览器... 不关注
    sevenzhou1218
        2
    sevenzhou1218  
       2018-12-19 08:42:34 +08:00
    @pexcn 别这样,人家是极速浏览器,2333333333
    whileFalse
        3
    whileFalse  
       2018-12-19 08:46:12 +08:00
    360 赶紧好好弄个国际承认的 CA 资格才是正道
    winterbells
        4
    winterbells  
       2018-12-19 08:49:53 +08:00 via Android
    @whileFalse startcom?
    mcone
        5
    mcone  
       2018-12-19 08:53:15 +08:00
    @winterbells
    > Due to multiple faults on the company's end, all StartCom certificates were removed from Mozilla Firefox in October 2016 and Google Chrome in March 2017
    > Despite attempts to distance itself from the controversy, on November 16, 2017, StartCom announced termination of business, and on January 1, 2018, stopped serving new certificates, effectively closing the company.
    https://en.wikipedia.org/wiki/StartCom
    Azmeont
        6
    Azmeont  
       2018-12-19 10:13:35 +08:00   ❤️ 3
    棱镜门的 Google 在自己的浏览器上自己签发根证书 vs 流氓大厂 360 在自己的浏览器上签发自己的根证书

    为什么你们只喷后者呢...
    就因为前者是人类的希望吗 =。=
    orangeade
        8
    orangeade  
       2018-12-19 10:40:34 +08:00 via Android   ❤️ 1
    @Azmeont 沃通 startcom 伪造证书对我有直接危害,棱镜门关我屁事呢
    wwqgtxx
        9
    wwqgtxx  
       2018-12-19 10:44:07 +08:00 via iPhone
    @Azmeont 因为 google 再作恶在国内也是被 rst,360 作恶嘛🐶
    Azmeont
        10
    Azmeont  
       2018-12-19 11:21:32 +08:00
    @orangeade #8

    棱镜门不影响你,难道你不用 Gmail 吗(或许你还真的不用呢

    Google 直接在 Chrome 里签自己的证书不也是和 startcom 一样的性质吗...难道说你没用 Google 的浏览器吗?
    Azmeont
        11
    Azmeont  
       2018-12-19 11:22:22 +08:00
    @wwqgtxx #9 Chrome 在国内的占有率很高,Google 在 Chrome 里自签证书实际上风险很高。
    Azmeont
        12
    Azmeont  
       2018-12-19 11:23:28 +08:00
    @coolcoffee #7 沃通做的这个恶,和 Google 自己在 Chrome 签发证书这种行为,有啥实质区别吗。。
    iwtbauh
        13
    iwtbauh  
       2018-12-19 11:26:21 +08:00 via Android   ❤️ 3
    @Azmeont #10

    神了,Google 签自己的证书有什么错?

    360 如果没犯规也可以签自己的证书啊,他犯规是犯规在“乱”签证书好吧。

    #11

    可有违规的黑历史?

    #12

    实质区别是,一个合法一个非法
    Azmeont
        14
    Azmeont  
       2018-12-19 11:33:08 +08:00   ❤️ 2
    @iwtbauh #13

    黑历史当然有啊,棱镜门啊。

    Google 最近在 Chrome 里面内置了自己签发的根证书。
    注意,是根证书。最危险的那种,不是你说的“自己的证书”。
    lovedebug
        15
    lovedebug  
       2018-12-19 11:40:44 +08:00 via Android   ❤️ 2
    @Azmeont 谷歌是信仰,谷人希怎么可能作恶,作恶也是保护人类嘛哈哈哈
    zbinlin
        16
    zbinlin  
       2018-12-19 11:40:56 +08:00
    注意新闻字标黑的那句话:

    >>>对于不符合策略的 CA 机构,360 有权移除任何证书,甚至包括操作系统信任的根证书。
    lzvezr
        17
    lzvezr  
       2018-12-19 11:48:54 +08:00 via Android
    @Azmeont 谷歌自己不就是 ca 吗?觉得不合理吊销就完事了,这几年被吊销的也不少了
    iwtbauh
        18
    iwtbauh  
       2018-12-19 12:31:56 +08:00 via Android   ❤️ 3
    @Azmeont #14

    先不说棱镜门是否 Google 参与,参与了多少。

    棱镜门有违规乱签证书的黑历史?

    就算 Google 参与了棱镜门,据报道,棱镜门是公司把自己的服务器开放给安全局。这和乱签证书是完全不同的好吧。

    乱签证书的危害远远大于这个,这是整个互联网 PKI 最脆弱的地方。

    而 wosign 做的就是这个。

    前者会导致用户的某一个网站信息因为网站所有人的问题可能泄露给政(河蟹)府,后者会导致用户的全部(或任意的)网站信息并非因为网站所有人的问题被可能泄露给政(河蟹)府、某些公司、骇客组织、...
    Rezark
        19
    Rezark  
       2018-12-19 13:55:28 +08:00   ❤️ 3
    只看到部分人崇洋媚外,说外国东西好的请先补习下 PKI 的知识,不管是 Google 还是 360 做自己的根证书,其目的都是利用自己浏览器占有的市场份额,来控制 CA 签发的证书是否在自己的浏览器受信任,最终用户为了自己网站不被浏览器告警,只能选择浏览器厂商指定的 CA 购买证书,中间说白了还是利益关系。
    7654
        20
    7654  
       2018-12-19 14:05:10 +08:00
    黑字真的是
    卸 360 保平安
    RqPS6rhmP3Nyn3Tm
        21
    RqPS6rhmP3Nyn3Tm  
       2018-12-19 14:15:42 +08:00
    @Azmeont 谷歌是自己签了个根证书内置到 Chrome 里还是当审计过的根 ca 植入到操作系统,这个区别很重要
    如果是前者,那确实是破坏 pki 的游戏规则了
    alfredsun
        22
    alfredsun  
       2018-12-19 15:46:30 +08:00
    @Azmeont 任何人都可以给自己的网站挂自签名的证书,你也可以,谷歌没有破坏的我的系统证书信任链,所以不喷。360 破坏了,所以往死里喷,明白了吗?
    oovveeaarr
        23
    oovveeaarr  
       2018-12-19 16:16:55 +08:00
    @alfredsun #22 是在浏览器里面移除。。跟系统没关系的
    imn1
        24
    imn1  
       2018-12-19 18:40:14 +08:00
    @oovveeaarr
    chromium 不是使用系统证书的么?
    pcteams
        25
    pcteams  
       2018-12-20 11:51:19 +08:00
    干证书这行,最重要的时诚信。360 是没法获得信任的,连赛门铁克家证书业务都被 Chrome/Firefox 移除支持了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2929 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 85ms · UTC 03:13 · PVG 11:13 · LAX 19:13 · JFK 22:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.