安全 Startcom 证书已经不靠谱

luikore · 发布于 2016年09月06日 · 最后由 lgn21st 回复于 2016年10月27日 · 3989 次阅读
2880

Startcom 被 wosign 悄悄收购

https://news.ycombinator.com/item?id=12411870

还发了假的 github 证书

现在我已经把 Startcom / StartSSL 根证书全 revoke 了 (还得重新生成 但 Ruby China 貌似在 Startcom 注册的...

共收到 22 条回复
8cd1d3

@luikore RubyChina 用的是 StartSSL 的免费证书,是不是所有 StartSSL 签发的免费证书以后都不能用了?

96

我现在都是用Let's Encrypt https://certbot.eff.org/

15999

支持Let's Encrypt

28195

最近发现饭强后登录不了Ruby China,是不是也是这个原因?

8cd1d3

我刚刚测试了一下 let's Encrypt,自动获取证书失败,可能是因为 80 端口被强制转换到 443 并且 DNS 服务放在 DNSPOD 上无法通过域名验证,稍微晚点我在折腾一下。

这里也提到了建议 RubyChina 换用 let's Encrypt 的证书 https://ruby-china.org/topics/30994

25402

#5楼 @lgn21st 先停止 80 到 443 的跳转,使用 Let's Encrypt 成功获取证书后再恢复跳转。后续续期时不会有问题。

跟域名服务商无关。

我遇到过DNS problem: query timed out,当时使用的是沃通的证书,阿里云的云解析,使用上述方案解决。不知道你遇到的是不是同样的错误。

2880

#1楼 @lgn21st 已经不能信任它了... 它都可以弄个假 github 出来, 浏览器地址栏都绿的, 开源的都能给你插木马

8cd1d3

#6楼 @bianjp 是这个错误,所以打算半夜的时候试试看,改一下 nginx 的配置,先谢谢,遇到新问题在找你问问。

370

嗯,Wosign 2015年就悄悄收购了 Startcom,后来自称签发假 Github 证书是技术问题,无论是有阴谋的(技术问题是敷衍),还是真正的技术问题,能签发假的大网站证书的,都是非常可怕的。太容易让安装了它的证书的设备被中间人攻击了。

很多 CA 的背景不透明,Wosign 作为中国的 CA,背后的 Big brother 是谁,没有人知道。

De6df3 huacnlee 建议 ruby-china.org 弃用 StartCom SSL 证书 中提及了此贴 09月06日 17:40
25402

我觉得国内 CA 不值得信任的一个重要原因是在天朝没有任何机构敢于对抗 ZF(ZF 要你签个假证书,你敢不签?)。

可悲的是,WoSign 和 StartCom 已经在受信颁发机构列表中,你不用他们的证书没用,把他们从受信机构中删除才行,然而目前使用 StartCom 的网站似乎比较多,删除后可能会影响日常上网。

370

#12楼 @bianjp

我觉得国内 CA 不值得信任的一个重要原因是在天朝没有任何机构敢于对抗 ZF(ZF 要你签个假证书,你敢不签?)。

一语道破!

从信任机构列表删掉 WoSign 和 StartCom 的影响倒是不大。

用 StartCom 的主要是个人小站,它们正在大批转移到 Let's Encrypt。 WoSign 倒是有国内比较 low 的小商业网站用,不过技术圈的人碰不上那些网站。

96

80 端口被强制转换到 443

和这个没有关系

估计是没有设置

location ^~ /.well-known/acme-challenge/ {
  default_type "text/plain";
}

25402

#8楼 @lgn21st 还没搞定?

8cd1d3

#16楼 @bianjp 实在是没空....

11314

WoSign也快不行了,刚买了三年 😟

我们已经换上了TrustAsia

2249

现在Certbot让使用Let's Encrypt更方便了。@lgn21st 可以抽空试一下。不一定要碰在网的服务,用standalone或者manual选项都可以。

8cd1d3

#20楼 @merlinran 谢谢提醒,这事情被忘到九霄云外去了.....

E40b21

PKI本身存在设计缺陷,这会导致任何CA都可以签发任何域名的证书。 已经签发的一般不受影响。除非浏览器对其屏蔽。

8cd1d3

已经替换为 Let's Encrypt 的证书了。
使用的是这个方案 https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册