[转][大家快去披露]奇虎360拥有沃通和StartCom被调查

大傻师

"奇虎360现在拥有沃通和StartCom两个根证书。因此Google和火狐开始调查奇虎360的劣迹, Google已经列出了360卸载竞争对手软件，假装Windows系统更新，360浏览器完全没有办法防止中间人攻击，等等行为。现在已经有很多中国网友回帖揭露奇虎360 。请大家也积极揭露。"
https://groups.google.com/forum/ ... .policy/TbDYE69YP8E

dragonbbc

从来没用过也从不打算用，完全无视它

大傻师

dragonbbc 发表于 2016-10-13 13:05
从来没用过也从不打算用，完全无视它

现在360下面有2个CA，如果CA不安全，HTTPS就不安全，会受到中间人攻击。HTTPS不仅关系到你浏览网页，大量的软件通讯功能都用到HTTPS的。

411412

举报的网页打不开。

mp44

见到360还是远点好

shamiao

最近wosign、startcom、360的确有公案在身

参见： https://www.zhihu.com/question/51042407

gzhuli

dragonbbc 发表于 2016-10-13 13:05
从来没用过也从不打算用，完全无视它

这两个根证书都预装在IE/Firefox/Chrome等主流浏览器里面了，你用不用360的东西都避免不了遇上这两个根证书。

这次沃通被爆出的问题最突出的有：
1.伪造证书的生效时间（规避SHA1签名算法过期限制）
2.签发了假冒的github.com证书，虽然沃通CEO辩称是系统漏洞，但这已经是妥妥的中间人攻击，而且github.com曾经被GFW DDoS攻击过，再爆出一个中国CA签发了github主站的假冒证书这种事情是非常敏感的，因为GFW完全可以利用这个证书针对性拦截github上面的FQ软件，甚至截获这些软件的作者帐号。
3.通过马甲公司暗中收购了以色列的StartCom而没有上报，这是非常严重的诚信问题（协议规定CA实际控制人变更必须公开）。开始沃通的CEO还不承认，后来Mozilla通过证书的序列号特征的变化来证明StartCom已经悄悄切换成沃通的软件平台，沃通还辩称只是战略合作，两家公司还是独立运营，呵呵，证据确凿还想抵赖。

为了保证所有用户的安全，随浏览器预装的根证书都有比较严格的监督机制，一旦出现重大安全事故或者诚信问题是会被终止信任并列入黑名单的，因为证书本来就是一个信任机制，如果负责认证身份的机构本身就不可信，或者系统出现重大漏洞（例如可伪造证书实现中间人攻击），那广大用户还有什么安全性可言。
估计是考虑到StartCom拥有庞大的用户群，这次Mozilla提出的处理意见已经非常宽松了，只是建议暂停这两家CA一年的信任（新签发的证书无效，没过期的旧证书还有效，这样对现有用户影响最小），一年后看学乖了没有再评估是否重新信任，如果这一年内还敢通过改时间来规避封锁才立即永久封号。

由于StartCom可以申请免费的SSL证书，我很多机器都在用它的证书。这次爆出丑闻，而且扯上臭名昭著的360，害得我连夜更换了所有的证书，并手动取消了这两个根证书的信任。

huangqi412

证书是不是是服务器选择的 我们这些登录网站的客户端用户没得选择

dragonbbc

gzhuli 发表于 2016-10-13 18:51
这两个根证书都预装在IE/Firefox/Chrome等主流浏览器里面了，你用不用360的东西都避免不了遇上这两个根证 ...

大师科普一下，貌似懂一点了，看来流氓真是防不胜防啊

dragonbbc

gzhuli 发表于 2016-10-13 18:51
这两个根证书都预装在IE/Firefox/Chrome等主流浏览器里面了，你用不用360的东西都避免不了遇上这两个根证 ...

再请教大师一下，chrome中把受信任的根证书里的有这两个字样的都干掉，是否就安全了？

Earthman

gzhuli 发表于 2016-10-13 18:51
这两个根证书都预装在IE/Firefox/Chrome等主流浏览器里面了，你用不用360的东西都避免不了遇上这两个根证 ...

大师样样精通，现在不做ee做网站了？？

lxl_lxl

干掉那两个证书，浏览器只会给你提示说那个网站不安全，实际你要访问还是需要公钥的。可以参考如何把网站全站HTTPS，过程需要把请求私钥req给他们，产生公钥。
泄露证书（他们自己签的）基本上等于没加密，本来加密就是为了防止窃-·听，现在好了，直接人家卖钥匙和锁，你用他锁加密，直接就有钥匙给你打开了。

之前给自己的站点加上HTTPS通信，用StartsSSL，俺的网站目前是这个，然后这次杯具了[StartSSL是StartCom公司旗下的SSL证书,]
不过算了，严格意义上，加密也就防止一般人的窃取，没什么不见得的东西。
填域名最好多填几个二级域名，私人博客是免费的1年有效期，过了续签即可
另外注意使用，看教程，试一两次次就好，删掉证书需要钱...【之前试试弄了几个发现的】
自己写app就可以自己给自己签证书了，哪个机构都不信。
编辑原因：新增增加ssl加密网站，杯具。

wkman

搬凳子过来，感谢楼上科普。。。。