如何解决GFW对https的劫持？

对https的劫持 /t/136516

5 GreatFire   29 天前 @mornlight 对。对Google，Yahoo只攻击了主页，没有攻击Login页面，所以用户名密码现在还是比较安全的。对微软攻击了Login页面，会盗取用户名和密码，比较可怕。 估计以后所有HTTPS都是c=cn这个证书。。

6 hging   29 天前 移除那三个证书不就好了.

7 wdlth   29 天前 我估计天朝NIC的证书就要遍布整个网络了……

8 songco   29 天前 结合cnnic, 阿里等根证书就跟麻烦了

9 GreatFire   29 天前 @hging 不把证书加入例外，网站无法访问的。 必须要通过GFW的机器和证书中转流量。

10 fangzhzh   29 天前 via Android 现在问题来了 怎么移除证书。 在Internet选项 安全删了 完全不管用啊， 分分钟又有了。 而且能力超群，一台xp虚拟机，一天开不了一个小时的，一个月不到，今天已经被感染伪证书

11 phuslu   29 天前   ♥ 2 强烈推荐 @chengr28 小朋友的 https://github.com/chengr28/AntiChinaCerts

12 phuslu   29 天前   ♥ 1 ps: AntiChinaCerts 项目正在积极跟进中国的最新证书。

13 mornlight   29 天前 @phuslu 囧，他的ALL版本把沃通的证书也放进去了，这让用免费证书的情何以堪。

14 xmumiffy   29 天前 @mornlight 换国外的免费证书 毕竟沃通掌握在中国政府手上

15 qifei   29 天前 @phuslu 手机怎么办？

16 hjc4869   29 天前 @fangzhzh 把证书加入revoke列表就可以了。。 以后上网一律ipsec不就行了……

17 sadaharu09   29 天前 @hjc4869 其实还是太麻烦，最好是类似与那种插件模式，跨平台。可以多国代理，并且嵌入智能路由器的最好。

18 hging   29 天前 @GreatFire 挂VPN

19 hjc4869   29 天前 via iPhone @sadaharu09 ipsec你说的这些都可以做到。不过可能要自己写一些控制逻辑。

20 knightluffy   29 天前 @songco 虚拟机..

21 hjc4869   29 天前 via iPhone 其实CNNIC根证书不会轻易用于污染的，否则被人发现了当天的windows update就会revoke掉那些根证书。

22 HeavenWesker   29 天前 @fangzhzh 为嘛要删除，正解应该是添加到不信任组里面啊

23 iButterfly   29 天前 那么问题来了 Firefox怎么在不屏蔽 AddTrust External CA Root（UTN - DATACorp SGC） StartCom Certification Authority 的情况下，单独屏蔽沃通的CA，因为沃通是上述两位的子CA https://www.v2ex.com/t/136996

24 c742435   29 天前 @mornlight 不受信任证书会自动被浏览器阻挡，所以其实是没有安全隐患的，只是打不开该网页而已。 解决方法就是翻墙喽。

25 maxsec   29 天前 受到Webtrust审计的（全球浏览器信任）CA不敢轻易伪造证书， 会很快被移除的

26 TrustyWolf   29 天前 DNSSEC可破

27 chengr28   29 天前 是这样……1L说的是对的，MITM是在链路上做的，不换成其它的链路理论上不能避免被MITM。现在包括我的那个工具也只是把证书 Revoke 也就是禁用掉而已，也就是说被MITM时阻止用户继续访问以免泄漏机密信息，但实际上MITM还是存在的，绕不开 @mornlight 嘛我那里首页也说了推荐用的是 Extended 版 =3= @TrustyWolf MITM 和 DNSSEC 没有什么关系，因为兲朝MITM是在骨干上做的， 就算地址正确也不能避免，有DNSSEC也没用

28 xierch   29 天前 说来，如果真用了可信CA发假证书.. 但是只小范围MITM一些JS资源 我很怀疑能不能及时发现..

29 avastms   29 天前 这次又拿了多少经费？

30 clino   29 天前 via Android 全用shadowsocks上不就好了

31 Qiuday   29 天前 移民呗

32 GreatFire   29 天前 @xierch 对，估计CNNIC是定点攻击重点人士

33 YonionY   28 天前 虚拟机大法应该比较方便省事，实体机清理干净，把国产软件、网银这些通通关在虚拟机里，让他们自生自灭就好了。

34 kang000feng   26 天前 @chengr28 　@phuslu 高手，用全局代理是不是可以避免被MITM？

35 chengr28   25 天前   ♥ 1 @kang000feng 可以，只要不通过有中间人攻击的线路访问即可. from http://www.v2ex.com/t/138830 ----------------------------------------- AntiChinaCerts Anti China Certifications. 全自动可疑证书吊销工具/全自動可疑憑證撤銷工具 Updated 2014-10-31 Usage English version 简体中文使用说明 繁體中文使用說明 特别说明/特別說明 Extended 版和 All 版会自动吊销 GoAgent 自带的 GoAgent CA 证书，为免使用 GoAgent 时出现错误同时也为了系统加密连接的安全强烈建议更换其自带的 CA 根证书。关闭所有 GoAgent 程序，进入其 local 目录删除 CA.crt 以及整个 certs 目录，然后清空所有浏览器数据重启 GoAgent 和浏览器即可。 Extended 版和 All 版會自動吊銷 GoAgent 自帶的 GoAgent CA 證書，為免使用 GoAgent 時出現錯誤同時也為了系統加密連接的安全強烈建議更換其自帶的 CA 根憑證。關閉所有 GoAgent 程式，進入其 local 目錄刪除 CA.crt 以及整個 certs 目錄，然後清空所有瀏覽器資料重啟 GoAgent 和瀏覽器即可。  FROM https://github.com/chengr28/AntiChinaCerts ------------------------------ 要删除 Wosign(沃通)的 SSL 证书吗？ 最近大规模官方劫持DNS伪造SSL证书：微软、谷歌、雅虎事件。 虽然目前用简单的假证书，但以后呢？ CNNIC证书很多人都放入不信任证书里面了。 Wosign沃通也是国内公司，命令它发证书，它能不给吗？ 另外Wosign也是 AddTrust External CA Root（UTN - DATACorp SGC） StartCom Certification Authority 的子CA。 系统可以把Wosign的根证书和子CA都单独加入不信任，而不影响AddTrust、StartCom的使用。 但是Firefox呢？似乎没有办法在不影响根证书的情况下不信任子CA。 Wosign在国内企业有一定使用量，不信任可能会造成国内一些网站的不方便。     2 ehs2013   39 天前   ♥ 1 一句话：我还没见过像印度一样利用验证过根证书的证书来进行 MITM 的事件。所以无论是 CNNIC 和 WoSign 还是 12306 及各类网银证书，都信任     3 CRight   39 天前 via iPad CNNIC到目前为止还没做什么出格的事。     4 ChanneW   39 天前 @Livid 但是楼主又是可是删掉回复的是吧.     5 Livid      39 天前 @ChanneW 回复和主题只有管理员可以删除。     6 mornlight   39 天前 没懂什么意思。wosign是商业公司，颁发假证书这种事应该不至于吧，他还要吃饭。     7 jasontse   39 天前 via iPad WoSign 应该要定期接受 StartSSL 审计，问题不大。最怕的是 CNNIC 这种 Root CA，还有 Sinorail Certification Authority 这种自己安装的 CA。     8 YonionY   39 天前 不能理解安装12306证书的行为，一年买不了几次票，买票的时候点一下继续访问不就可以了吗？     9 whywhywhy   39 天前 这个问题讨论过多次了，受信任的证书机构，是受监督的，只要谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了，以前有信任的证书颁发机构被黑的情况，结果就是大家都不敢信任他了，后果很严重！     10 whywhywhy   39 天前 @YonionY 5块钱ssl证书都买不起，你要淡定     11 Quaintjade   39 天前 @whywhywhy 随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。 比如它签发一个SHA-1签名的证书用于MITM，你截取了这张证书说是它伪造的，它反咬你一口说你背后有XX提供技术资金支持，花点钱破解伪造证书来构陷它。 在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。     12 whywhywhy   39 天前 @Quaintjade 我对这个还真心不怎么在意，反正chrome和ie和ff能自动更新，银行自己也会注意，到不安全的时候自然就会采取措施了，比起这个，我更在意我肚子上的赘肉。     13 xoxo   39 天前   ♥ 1 楼主多虑了。 向楼主问几个问题： 1. CNNIC SSL不可信，你有伪造的证书的证据吗？ 2. WoSign SSL不可信，你有伪造的证书的证据吗？ 这是一个法制社会，谁主张谁举证，你拿不出证据，你的主张就不成立。 另外，从国际标准来说， CNNIC SSL ROOT 和WoSign 1999 两个根证书，每年均需经过WebTrust审计，对系统安全性、PKI可靠性等多项指标进行评级。 如 果有任何一家通过WebTrust审计的CA欲级任何攻击用户安全、威胁SSL信任体系的组织个人提供方便，WebTrust会立即进行事件评估，紧急通 知各大操作系统（Microsoft、Apple、Linux Branches...）和各大浏览器厂商发布强制补丁，取消能做恶CA的信任。 历史上存在过一次相应的事件，荷兰的DigiNotar被伊朗黑客攻击，颁发国几个Yahoo.com子站和Google.com子站的伪造证书，被用户举报后纷纷被各大浏览终端、系统厂商和谐掉，然后这家公司就破产了。 如果CNNIC SSL胆敢做出类似行动，不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！ 退一步讲，WoSign虽然是一家商业公司，没有政府职能，但一旦被发现有欺诈的痕迹，迅速这家公司也会破产，其累计数据的信任资源和品牌投入毁于一旦，得不偿失！ 综上，楼主多虑了。     14 Quaintjade   39 天前 @whywhywhy 这里指的显然不是银行。 @xoxo “不仅仅是威胁中国网民网络安全那么简单，更会让中国经济环境变得恶劣（一家政府部门都公然欺诈），国际社会会被这个国家做出制裁的！” TSSN... 美国以色列搞伊朗时就造过假证书，然后呢？ 假证书搞垮一家证书商还有可能，影响经济坏境什么的是想多了。 而且如我在11楼所说，接下去两三年，就算你抓住了那张证书，都难以完全证明那是证书商签发的。     15 whywhywhy   39 天前 总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。 @Quaintjade 这么说吧，你删不删都没意义，为什么没意义？命令qq公司给你下载个临时的证书机构在你电脑上，命令360公司下载个证书机构在你电脑。命令你电脑所有国产软件公司导个证书轻而易举。完事后还能自动删除。不留痕迹。 你电脑一般来说还会装有银行的，支付宝的认证机构。反正信任的机构不是一个两个，你自己可以去翻 你删，你尽情的删。 我为什么我说轻而易举？因为什么事情都得看是站在什么角度去处理，从国家的角度去考虑得失，企业又如何能不配合？ 换句话说，给你1亿让你离婚你离不离？这是答应的结果，不答应的结果，呵呵，呵呵，很多事情不是道理、正义、和谐就能赢的。讲道理有用，那还训练什么军队，搞什么核弹？全世界几百个国家讲讲道理，世界和平就到来了！？ 企业一配合那还了得！导个证书几行代码就搞定的事情。 不答应？谷歌还能退出中国，你叫腾讯叫360给我退出中国看看？ 你们只考虑到一个信任机构被装在电脑了，你可想过没有那些装在你电脑上的软件，给你装个证书进去是何其容易？ 非要这样去恶劣的想，你还真的太低估了，任何人都是没办法和国家为敌的，你想到的永远是片面的。 或许你可以不用这些软件，但是你永远无法阻止所有人不用……就算你不用这些，也保证不了任何软件都不存在后门，因为后门真的很容易……也就是几行代码的事情。 总结：所谓的危险性，在于你的重要性，你重要，则这些手段根本无法防范，你不重要，就算满电脑漏洞也没人利用。     16 Quaintjade   39 天前 via Android @whywhywhy 你又想当然了。 实际上我删过，然后发现国内这些证书删掉后对网银、支付宝一点影响都没。 明白了吧？因为网银起作用的证书都是国外证书商的啊。甚至铁道部也有国外发的证书（忘了哪个域名），用自签证书只是因为把真证书部署在人家CDN上有风险。 完事后自动删除，说得好像轻轻松松，但加证书就是为了常驻一段时间（否则既然能塞根证书，什么权限不能有？），这段时间内就有机会被抓。 然后你后面的那一大堆完全是在无限扩大概念，却无视我特意指出的SHA-1碰撞成本。我提这点就是为了说明伪造证书然后赖账在现实中有较高的可行性，反观你举的那些例子全都只是在极端情况下有可能。     17 Quaintjade   38 天前 找到了，12306由Verisign签发的证书： https://epay.12306.cn/ 用自签证书的另一点理由是，有些证书（尤其像verisign之类的OV以上级别）会限定IP数量，添加IP要加钱，这样CDN就太费钱了。     18 whywhywhy   38 天前 @Quaintjade 你就是想说，我家里的门上有一把锁，为了防止万能钥匙开启，干脆就把钥匙孔封住了，于是你认为安全了，但是强盗要进你家门，直接拿炮轰开就好了，会和你拿钥匙吗？（删除国内证书机构，自认为安全） 平白无故的谁又来拿炮哄你家门？花这么大成本对付你有什么好处？（花大成本去伪造，你值得谁去这么做？） 做一件事情之前，先考虑下得失，先考虑下前因后果，你总是把自己列为重要人物，国家要追杀你，要监听你……（你有被害妄想症吧） 你 是不是想太多了？就算监听，你又有什么特别的可以监听的？你上个1024网有什么好在意的？你有点好奇心又有什么奇怪的。上网的人十个里面8个都差不多， 你觉得自己有什么可以被监听的，有什么独特的，事实上你也就一普通人，你有的别人都有，你在做的别人都在做，你所有的缺点，欲望，贪心，恐惧，无安全感， 在别人身上也都有。（你在自己眼里很特别，但是在别人眼里，你也只是凡人一个，就算你在某方面很强悍，但是进入到尖端人才的圈子里，你又能位列第几？） 就算你有三头六臂……那又有什么奇怪的，双头人都出现不止一个了，双性人也证明是存在的（就算你真的很特别，特别的人你也不是第一个存在）     19 Quaintjade   38 天前 @whywhywhy 你到底有没有看清我在谈论什么？ 我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！ 我在说的是，CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生，这就是我在说的。我提到的几十万美元是反咬时可用的借口，实际上根本没人付出这笔钱，懂不？ 你说的一切都是建立在伪造成本过高、得不偿失的基础上的。但如果成本几乎为零，而且是非针对性的大范围覆盖，那就有可能发生——参考某墙。 别以为你要有多特殊才有人监控你。没人有意要监控你，只是顺便把普通的你覆盖了而已。     20 whywhywhy   38 天前 @Quaintjade "我难道在讨论是否有人会花巨大成本伪造证书来获取你的信息？我根本没在说这事好吧！" "CA可以零直接成本地签发假证书，而你以为的吊销CA资格等巨大间接代价未必会发生" "但如果成本几乎为零，而且是非针对性的大范围覆盖" "没人有意要监控你，只是顺便把普通的你覆盖了而已" 从你的文字里我明白了这几件事情，没有人在意我，我只是被无辜的覆盖，这样的操作0成本。 ****既然我是无辜的，既然不针对我，我也是守法公民，我担心个毛线？被监听一下劫持一下又有什么关系？**** 另外"CA可以零直接成本地签发假证书“，风险也是成本的一种好吗？我从楼上丢个石头下去，砸死人也是零成本的，但是风险呢？风险难道就不是成本的一种？吊销资格的结果是什么你懂我懂大家都懂。 全世界那么多国家有CA证书颁发的机构，谁都有可能伪造，那何必搞什么信任列表？你直接让大家清空就好了。（任何一家都无法完全避免人为造成伪造证书的事情）     21 whywhywhy   38 天前 @Quaintjade 你总是在说可能，可能伪造，可能做这样的事情。 你始终不去想一个问题，为什么要去做这样一件事情，做这样事情的原因是什么，成本是什么（风险也是成本的一种），结果是什么。 所谓的结果就是你受到什么影响了？监听？隐私？你上qq上面就有你全部的聊天记录，随时可查，那是不是大家都不要用qq了？但是只要不违法，监听一下，可查又如何。 而且这样大大的保护了我们的安全（别人去查肯定是查坏人），你总是去想着负面的事情，能想得好一些吗？能不能不要总是瞎想那些有的没的 如果都涉及到国家级别了，那说明事态严重，那么严重的事情你参合个什么劲，你这是在为坏人提供方便。对你又有什么好处？ 既然没有好处，又不关你的事情，又是国家大事，你确定要参与进去吗？     22 Quaintjade   38 天前 @whywhywhy 你果然开始转移话题、撤退到第二条防线了，从讨论CA是否会伪造证书这个话题移开，退而辩论即使监视也没什么大不了的。 针对你试图移开的那个话题： 风 险是一种成本没错，但之前你认为CA资格被吊销几乎是100%，而我告诉你这种概率并不高，而且接下去几年随着SHA-1变脆弱而会越来越低。这样一来， 成本就可以低于收益，CA自发或受迫签发伪证书就有可能，而且越来越高，直到系统和浏览器彻底拒绝SHA-1。自己同时承担收益和成本的商业公司，这种可 能性依然很低；成本（风险）由公司承担，收益由其他组织承担，并通过“不配合时的负收益”这层联系来强迫，可能性就大得多；如果成本收益都由非商业的组织 承担，且这个组织有足够的理由反咬别人碰撞Hash，那可能性就更大。 我一直在强调这种可能性的现实合理性，你却一味地举极端情况的例子（任何XX都不能XXX，所以XXX），这对辩论毫无帮助。 针对你撤退到的新防线： 第一，“别人去查肯定是查坏人”这是多天真的想法啊。去查的是认为需要查的人，主要是与自己意见不一致的人，坏人自然包括其中，但比坏人的包含范围大得多。当然，如果你把所有被查的都定义为坏人那就没啥好说的了。 第 二，ZF插手的事一定是国家级别的事？你又在错误扩大概念了。一系列人或事叠加在一起是重大的，重大到ZF有理由签发假证书，但其中的涉及的人或事未必是 重大的，甚至其中大多数的人可能是渺小的，渺小到普通人有意无意就牵涉其中。由于ZF并不会明确说明界线在哪里（一贯如此），所以有意无意牵涉到是很可能 的。 第三，可查又如何。是的，我并不担心ZF查我各种资料，也不担心企鹅能查我所有的聊天记录，因为查的人与接触到的数据都可预见。但如 果证书被伪造，那么数据与接触数据的人的可预见性就大大降低。例如ZF把破解的证书架设在第三方（很可能是个半官半商机构）服务器上，那么这个第三方就能 趁机获取它本应无法接触的数据。 别总是摆出一副隐私算个屁的样子，这像说反正内裤被看过了，干脆裸奔吧。企鹅能看QQ聊天记录无所谓，企鹅能看你档案你愿意吗？     23 whywhywhy   38 天前 @Quaintjade 一个（次）你可以说是意外，两个（次）你可以说是临时工，三个（次），五个（次）……的时候你还能说这是意外，这是碰撞，这样还不被吊销资格我就服了你。 就 像上面说的，这是一个法制社会，你这样毫无证据混淆视听，甚至预判ZF会怎样做，预判信任体系的管理者不作为。前者有前科你可以不信任（事实上哪国没有黑 幕呢，没有黑暗面呢？），事实上我也不信任，但是有一个管理这个信任体系的机构存在，我觉得比你在这不断的争辩要靠谱得多。 说句不厚道的话，你觉得cnnic不靠谱，你要删证书，你为什么不去向管理这个体系的机构投诉，抗议，申诉？为何不走正规合法途径去解决此问题呢？比起你在这里疯狂的争辩，我觉得那样有效得多。     24 Quaintjade   38 天前 @whywhywhy 于是你又把论点退缩到了 一次有可能、多次不可能，事实上我想说的就是一次有可能。一次就够本了。 事实上我自始自终都没有提出过是否应该删除CNNIC或沃通，最初我回这个帖子只是针对你说的“谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了”，你说我要删证书又是由何而来？ 只能说你从头到尾都没有看懂我到底在讨论什么，就在这里疯狂的争辩。     25 whywhywhy   38 天前 @Quaintjade 既然你要从头到尾我引用你@我的话： 1.随着SHA-1破解成本越来越低，再过段时间，被抓也未必能打死。 （这是你第一次在这个帖子@我的第一句话） 仔细看看你最后的那句话”被抓也未必能打死“，你这句话是肯定呢？还是否定呢?还是不太确定呢？如果你自己都不确定，那你@我是何意？告诉我你也不确定？你自己都不确定，你还来@我，是何意？想搞得我也不确定？ 你真的很无聊。不确定就不要说嘛，没有证据就乱说是不对的。而且你自己也不确定，那就更不能乱说了。 从头到尾你就不确定，你还争什么？ 2.在2016~2017年系统及浏览器逐步停止信任SHA-1之前，碰撞一个SHA-1的成本应该已经降到$50k以内了（已是保守的预计），而且美帝又有撞MD5的前科，说你截获的证书是碰撞出来的你很难自证清白。 50k美金也就是30w人民币，30w人民币的成本如果走合法途径，那么一定会留下蛛丝马迹，走洗钱的途径，洗钱本身就违法。要证明自己是清白的，并不难。什么！你说的是ZF要伪造个证书来劫持你？那还是别挣扎了，兄弟我已经说到了，和ZF作对是没有好处的，搞不过的。 3.美国以色列搞伊朗时就造过假证书，然后呢？ 假证书分两种，一种是没有受信任证书机构颁发的，这种证书谁都可以造，无意义。第二种是是有证书机构颁发的，那么问题是，是哪个机构颁发的呢？请列举出来。 4.你果然开始转移话题、撤退到第二条防线了，从讨论CA是否会伪造证书这个话题移开，退而辩论即使监视也没什么大不了的。 CA 也好，其他任何人和组织也好，要伪造一个证书，起码要有一个动机，动机又因为结果而决定可以付出的成本，伪造证书的成本就是风险，被吊销信任列表的风险， 甚至被列为所有人都不信任的风险。这就是不作恶的保障，这就保障了对方不能作恶，作恶被抓到证据就会吊销资格，会被大家不信任。 换句话说，任何一个信任列表中的机构都是有可能伪造证书的，因为最不安全的就是人类，只要有人参与过程（没有人参与，机器也无法自动化），那就没有绝对的安全。所以我在反复提到一个东西，成本和风险还有动机。 5.于是你又把论点退缩到了 一次有可能、多次不可能，事实上我想说的就是一次有可能。一次就够本了。 谢谢你的配合，你这句”事实上我想说的就是一次有可能。一次就够本了。“说的太棒了。因为这句话所透露的内容就是，即便成本再大（被扔进不信任列表），一次也值得。 既然只能一次也值得，那么世界上任何一家机构都无法避免，因为”只做一次“这样的情况是无法预防的，所以给你的忠告就是，清空你的证书颁发机构的信任列表。因为随时都有可能被”只做一次“给碰上。 既然愿意花这样的代价去劫持谁，说明那个被劫持的人的电脑（或许还有一些无辜者）很重要，竟然要用掉这”一次就够本了“的机会。那么这么重要的一个事情，还不能称之为大事？这样的机会还不是用在坏人身上？你玩我呢？ 既然是大事，那肯定跟我没关系，我没那么重要，就算被小范围的劫持到了，那又如何，我又不犯法，而且仅仅是一次而已，我还是可以接受的，明白？这样的几率小到比彩票还低，那我还不如直接去买彩票呢，说不定还能中五百万。 所以综上所述，你知道你在说什么了吗？你知道我在说什么了吗？你现在为什么明白为什么我说你有被害妄想症了吗？真心不知道你在和我争什么。     26 julyclyde   38 天前 @Quaintjade 证书里不含IP，哪儿来的加IP多收钱？     27 Quaintjade   37 天前 @whywhywhy 1. 你说得很肯定，我说不一定，而且不是钻牛角尖极端情况的不一定，为什么不能争了？ 2. 你到现在都还没看懂我说的是什么。都说了，实际根本没人支付这笔钱，反咬的借口而已。 3. Microsoft Enforced Licensing Intermediate PCA certificate authority http://en.wikipedia.org/wiki/Flame_%28malware%29 4. 成本风险动机我都讨论过了，你始终无视，只会用“任何XXX都不能XXX”来回复。 5. 成本=被撤销的代价*被撤销的概率，你始终在盲目夸大成本。然后还无视（或者理解不了）我说的非重大价值可以累积成重大价值这一点。 你自始自终都沉浸在自己的妄想中，无视和扭曲别人的观点和论证。     28 Quaintjade   37 天前 @julyclyde 说错了。不是IP，是number of servers 技术上无法限制，但为了多赚钱，有CA会从条款上限制server license的数量（实际如何限制就不清楚了）。 https://www.gogetssl.com/extended-validation/symantec-securesite-pro-ev-ssl/ http://security.stackexchange.com/questions/54442/how-can-ssl-vendors-limit-the-amount-of-servers-they-can-be-installed-on     29 whywhywhy   37 天前 @Quaintjade 已block，原因如下 1.你自己都不确定的观点，还指望让别人理解你，让别人懂你，让别人承认你这个自己不确定的观点，无论你再解释多少次都毫无意义。 后面的不回答了。一直在主观的“预测”别人还未做出(从未做出)的违规行为，主观的预测那个时候没有有效的手段来阻止。这样的预测我认为是恶意的，在事情没有发生之前（时间未到来之前），做出这样的预测是不负责任的。 观 点自己不确定，一切又建立在预测之上，还是负面的预测，这样的恶意的预测将对他人产生误导。多年以前月光博客也做出过类似的预测（CNNIC进入信任列 表），结果事实呢？事实就是几年过去了，谁也没有抓到过它伪造的任何一张证书的证据。然后这个事情就淡出了大家的视线。现在我不想再被这样负面的猜测来误 导了。     30 Quaintjade   37 天前 @whywhywhy 已block。 本来就是为了指出你错误的观点，你却一而再再而三无视、扭曲我的观点和论据。 就像你这贴又提出一个扭曲的观点，说我是在预测。事实上我并未作出预测，又是你脑补的产物。 你一直在用稻草人论证来无理取闹罢了。     31 whywhywhy   36 天前 @Quaintjade 真是搞笑。我已经说得很清楚了，信任列表中的证书颁发机构是有专门的组织来管理和监督的。谁作恶就吊销谁。你非要说hash碰撞已经成为可能，甚至成本保 守估计50k内，甚至有人举报都可以申述为是恶意碰撞（恶意碰撞出证书，以此对颁发证书机构进行举报），还提出作恶0成本（自己可以随意签证书，作恶无难 度）。后面我提出这样的作恶（伪造证书）是风险很大的，被抓的必然性就是不再受信任。而你提出的是什么？你提出只作恶一次就够本了。那就是说抓到也无所谓 了？ 也不知道是谁在胡搅蛮缠，明明是自己缺乏安全感不信任这个信任体系，既然如此，那你清空信任列表就好了。使劲在这误导人，你如何博取他人的信任     32 Quaintjade   36 天前 via Android @whywhywhy 哈，你继续胡搅蛮缠好了。 作恶一次就够本的意思是被抓到也无所谓？脑洞真大。我只是在说没必要再做第二次而已，所以你说的必然不再受信任就是错的，因为你是基于会伪造很多次的基础上。 你下一段又是打稻草人和列极端情况，除了这你还会啥？     33 whywhywhy   33 天前 @Quaintjade 真心笑了，你是赖上我了吗？故意说block你了，你还真上当，接着就说block我了，接着我回复你，结果你block了还跑来回复，太搞笑了。还说我胡搅蛮缠，是你自己才对吧。 别跟我学了，谢谢，不回了，你爱怎么折腾怎么折腾。     34 Quaintjade   32 天前 @whywhywhy 呵呵，早就知道你不会block，随便钓一下果然就把你钓出来，还死要面子装成故意，真是逗。 胡搅蛮缠的你自动滚粗吧，不过看你嘴上说着不回，待会儿大概又屁颠屁颠跑来回复了。     35 wsvicky   28 天前 @xoxo 你真算得上SSL 证书专家，说得很在理。微软认可的CA机构如果出现发错、伪造证书的情况，一夜之间会破产，所有的努力就白费了…… 沃通 会这样自取灭亡吗？所以说 沃通 WoSign SSL 全球标准，值得信赖！ 你值得拥有     36 ragnaroks   1 天前 @whywhywhy 作为一个程序猿,我深受GFW的困扰,但是站在国家层面讲,如果我是当权者,我会做的更绝, 毕竟中国民智未开,很容易受到反动势力的煽动. 在ssl这件事上,我也觉得没必要,退一万步讲,直接让微软在简体中文版系统里面内置后门,否则滚出中国, 谷歌说过不作恶,但是微软可没有说过. 郭嘉要搞人还是很简单的,只不过几个屁民成不了什么事.     37 ragnaroks   1 天前 综上所述,ssl除了自签证书绝对不信任意外,其他的受信任根我也认为没有必要删除,蓝色圆球头像的那位很有危机意识,但是太把自己当回事了. FROM https://www.v2ex.com/t/136996