V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nvidiaAMD980X
V2EX  ›  SSL

Apple 什么时候会将 StartCom CA 移除出信任列表,尤其是 iOS 系统?

  •  
  •   nvidiaAMD980X · 2016-09-29 07:09:38 +08:00 via Android · 4619 次点击
    这是一个创建于 3011 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题, StartSSL 的名声已经完全臭了, macOS 可以手动移除它,而 iOS 系统非越狱状态下无法移除 StartCom 的 CA ,刚才查看了下, iOS10.0.2 还是默认信任 StartCom 的 CA ……………令人不安
    12 条回复    2016-10-02 13:30:08 +08:00
    SourceMan
        1
    SourceMan  
       2016-09-29 07:59:08 +08:00 via iPhone
    为什么令人不安?
    243205964
        2
    243205964  
       2016-09-29 08:04:01 +08:00 via Android
    @SourceMan 因为 令人不安 前面的一长串…
    Cavolo
        3
    Cavolo  
       2016-09-29 08:04:55 +08:00 via iPhone
    cnnic 最后怎么处理了
    JJaicmkmy
        4
    JJaicmkmy  
       2016-09-29 08:13:07 +08:00
    @Cavolo 没记错的话,苹果现在还是信任 CNNIC 的,而且 macOS 可以手动移除所有其他证书,就偏偏不能移除 CNNIC 。
    Tink
        5
    Tink  
       2016-09-29 08:15:11 +08:00 via iPhone
    只要不作恶的话没啥问题吧
    sinxccc
        6
    sinxccc  
       2016-09-29 08:37:08 +08:00
    作为个人随便你自己怎么搞,总之自己承担验证未知网站的风险,作为系统 CA 的维护不可能轻易作出彻底移除某个 CA 证书的操作,除非最最恶劣的情况发生——目前为止还没有先例吧?

    CNNIC 印象中 Mozilla 也只是不信任从某个时刻开始的所有证书。
    EricCartman
        7
    EricCartman  
       2016-09-29 10:07:27 +08:00
    Android 好一些,已手动禁用 StartCom 和 WoSign 还有 CNNIC 的证书, Windows , MAC , Linux 上也用了这个工具移除了: https://github.com/chengr28/RevokeChinaCerts
    nvidiaAMD980X
        8
    nvidiaAMD980X  
    OP
       2016-09-29 13:36:56 +08:00 via Android
    @JJaicmkmy 连 CNNIC 的官网都不用自己的 CA 了,换成了 digicert 的 CA ………不知道 Apple 是怎么想的………
    redsonic
        9
    redsonic  
       2016-09-29 21:23:50 +08:00   ❤️ 1
    我现在越狱 iOS 的唯一理由就是撤销这些 CA 的证书。
    bernardx
        10
    bernardx  
       2016-09-30 23:28:19 +08:00
    你移除一堆系统信任的证书,除了自己感觉不错,顺带几个用证书签名的网站打不开了,有其他任何实质性帮助吗?
    难道你就从来不上非 https 的网站了? 国内又有几个 app 走的是全 https 呢
    nvidiaAMD980X
        11
    nvidiaAMD980X  
    OP
       2016-10-01 00:22:26 +08:00 via Android
    @bernardx 我发现我现在真的很少上非 HTTPS 的网站………而且我的 iPhone 除了几大银行的 App 外,几乎不安装大陆的 Apps , WeChat 和 QQ 之流,我只在电脑端的虚拟机中使用…………
    Technetiumer
        12
    Technetiumer  
       2016-10-02 13:30:08 +08:00
    哪天 let's encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵

    comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5372 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:13 · PVG 16:13 · LAX 00:13 · JFK 03:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.