V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shierji
V2EX  ›  SSL

用 wosgin 的同志们注意了,你们被 wosigh 坑了。。。

  •  
  •   shierji · 2015-06-16 09:51:09 +08:00 · 7954 次点击
    这是一个创建于 3448 天前的主题,其中的信息可能已经有所发展或是发生改变。
    wosigh有两个CA。一个中文的一个英文的。
    英文的16年3月到期。然而wosign还在用这个即将到期的CA签发比它有效期更长的证书。造成的结果就是签出来的证书会被chrome显示为安全设置已经过期。。。。
    [手动doge]

    wosign真是太“专业”了!

    认真的查了下。首先,
    1.用一个有效期较短的CA颁发一个有效期更长的证书是不被允许的。不知道wosign是怎么搞的
    2.CA到期1年前应该被续订(然而wosign)没有

    心疼这些网站:
    https://www.wosign.com/about/Who_uses_WoSign.htm

    以及wosign自己的官网也有这个问题。2333
    第 1 条附言  ·  2015-06-16 11:07:03 +08:00
    说法有问题。不止两个CA。
    看来现在的问题在于它的startcom次级CA快到期了没有续期。。
    第 2 条附言  ·  2015-06-16 11:07:22 +08:00
    45 条回复    2015-06-17 09:16:06 +08:00
    wy315700
        1
    wy315700  
       2015-06-16 09:55:04 +08:00
    https://passport.yhd.com/passport/login_input.do
    看了一下一号店的证书,没问题啊,并没有发现2016年到期
    matsuijurina
        2
    matsuijurina  
       2015-06-16 09:56:15 +08:00   ❤️ 4
    楼主一个标题就把网址拼错两次...
    shierji
        3
    shierji  
    OP
       2015-06-16 09:56:36 +08:00
    @wy315700 1号店的证书15年9月就到期了。比wosign的CA(16年3月)先到期。所以自然没问题
    shierji
        4
    shierji  
    OP
       2015-06-16 09:57:01 +08:00
    @matsuijurina - -233333.
    wy315700
        5
    wy315700  
       2015-06-16 09:58:15 +08:00
    @shierji 你有仔细看过一号店的证书链吗,哪里有写2016年,明明是2019年和2024年。
    wy315700
        6
    wy315700  
       2015-06-16 09:58:57 +08:00
    shierji
        7
    shierji  
    OP
       2015-06-16 09:59:36 +08:00
    @wy315700 配合这两个服用 https://www.tianxiafu.cn/ https://www.dodopal.com/
    你就能看出问题所在了
    shierji
        8
    shierji  
    OP
       2015-06-16 10:00:00 +08:00
    @wy315700 看这个证书的上级。wosign的根
    wy315700
        9
    wy315700  
       2015-06-16 10:02:11 +08:00
    @shierji
    并没有发现什么问题,都是2019年的


    lonelygo
        10
    lonelygo  
       2015-06-16 10:05:04 +08:00
    @matsuijurina 你亮了!
    shierji
        11
    shierji  
    OP
       2015-06-16 10:07:42 +08:00
    @wy315700 我这里wosign的上级证书都是 Startcom

    你的跟我不一样。。。
    看起来wosign只是忘了给startcom的这个CA续订。。。
    wy315700
        12
    wy315700  
       2015-06-16 10:08:43 +08:00
    @shierji 估计是网站没更新CDN的证书而已。
    shierji
        13
    shierji  
    OP
       2015-06-16 10:09:31 +08:00
    yylzcom
        14
    yylzcom  
       2015-06-16 10:12:46 +08:00
    我用某个github上的清理证书工具,把wosign(因为楼主,拼写这个的时候小心翼翼)的证书revoke了,苏宁易购的电脑端登录不了付款....

    应该还有好几家在用wosign的证书,好像电信网上营业厅也是?!
    shierji
        15
    shierji  
    OP
       2015-06-16 10:13:32 +08:00
    @yylzcom 挺多的。。。我是习惯性手误- -不用管我。。。
    geekzu
        16
    geekzu  
       2015-06-16 10:13:34 +08:00
    Wosign为提高兼容性使用了startssl的交叉根,自己也是有受信任的根证书的
    geekzu
        17
    geekzu  
       2015-06-16 10:15:33 +08:00
    另外“安全设置已过期”应该是因为证书是sha1签名算法而且有效期超出了2016年吧
    shierji
        18
    shierji  
    OP
       2015-06-16 10:18:19 +08:00
    @geekzu 问题应该就出在startssl的这个交叉根上。。其他的没问题。。
    签名算法是sha256我检查了的。不过有的确实是还在用sha1。
    geekzu
        19
    geekzu  
       2015-06-16 10:19:34 +08:00
    @shierji 我这边只要是超出2016年的sha1证书就会显示安全设置已过期,google的证书也是sha1,但是没超过2016年,所以毫无报错
    br00k
        20
    br00k  
       2015-06-16 10:26:24 +08:00
    https://qwer.me/
    3年有效期并没有楼主说的问题
    goodbest
        21
    goodbest  
       2015-06-16 10:30:57 +08:00
    这家公司出这种问题是长期的、持续的。
    http://www.v2ex.com/t/182317
    wy315700
        22
    wy315700  
       2015-06-16 10:35:02 +08:00
    @goodbest 是比较恶心,各种BUG,
    jemyzhang
        23
    jemyzhang  
       2015-06-16 10:45:57 +08:00
    wy315700
        24
    wy315700  
       2015-06-16 10:56:37 +08:00
    @jemyzhang 这证书没问题啊
    shierji
        25
    shierji  
    OP
       2015-06-16 11:06:00 +08:00
    @br00k 我这里访问你的就是叉叉。windows 8.1+chrome 43 还是用startcom的根交叉签的
    bestsanmao
        26
    bestsanmao  
       2015-06-16 11:16:24 +08:00
    @shierji

    复旦这个站https://www.fuedf.org/
    证书2018到期
    用chrome访问没有问题
    cst4you
        27
    cst4you  
       2015-06-16 11:19:40 +08:00
    @shierji 只能说你的系统证书链有问题, 我下来都没问题
    shierji
        28
    shierji  
    OP
       2015-06-16 11:20:29 +08:00
    @cst4you
    @bestsanmao 他有几个证书链。。只有startcom的这个有问题。。而我恰恰每次访问到的都是这个。。
    choury
        29
    choury  
       2015-06-16 11:28:22 +08:00
    @br00k 你的证书在我这里是这么显示的:

    ihciah
        30
    ihciah  
       2015-06-16 11:32:26 +08:00
    @bestsanmao 我这边提示安全设置已过期。。。上海电信。
    Havee
        31
    Havee  
       2015-06-16 11:34:44 +08:00
    也在用 WoSign 的免费证书,并没有什么问题





    Havee
        32
    Havee  
       2015-06-16 11:46:00 +08:00
    https://www.ssllabs.com/ssltest/ 跑了下 qwer.me,结果,成绩B....

    ssl 安全还没做到位

    tammy
        33
    tammy  
       2015-06-16 12:06:18 +08:00
    免费证书的根证书是startssl吧,收费的不是的
    chromee
        34
    chromee  
       2015-06-16 12:34:05 +08:00 via Android
    wosign只是为了兼容弄了startssl的交叉根证书
    你电脑上如果装了wosign自己的根证书就不会了
    xierch
        35
    xierch  
       2015-06-16 12:44:56 +08:00
    @shierji 很奇怪,你发截图的这个 https://www.tianxiafu.cn/ 在我这边看是正常的

    我这边 Chrome 用的是另外一条 path:
    WoSign -> WoSign Class 3 OV Server CA -> www.tianxiafu.cn
    有效期都还有很长

    另外我看了下它服务器发送过来的证书,里面确实也有 Certification Authority of WoSign,
    但是 issuer 和你的不一样,有效期到 2019 年也没问题..

    我感觉是你机器的问题…
    机子上有老证书,然后 Chrome 又走了奇怪的 path (为什么?)
    br00k
        36
    br00k  
       2015-06-16 13:03:56 +08:00
    @shierji 你系统的证书有问题吧。在windows8 2012R2 IE Chrome都无问题,在OSX下 Safari和Chrome也没问题。然后顺便试了android和iOS也没问题。
    shierji
        37
    shierji  
    OP
       2015-06-16 13:20:47 +08:00
    @tammy 都有这条链。。
    @chromee 他感觉像是随机走。。。

    @xierch
    @br00k 你们看ssllab就知道他同时存在几条信任链。。。其中一条出问题了
    @Havee 你这个是跟服务器本身配置有关系跟证书关系不太大
    Rezark
        38
    Rezark  
       2015-06-16 13:35:50 +08:00
    @shierji 这个问题是你本地证书链的问题吧,我电脑没有问题。
    ak47947
        39
    ak47947  
       2015-06-16 14:27:14 +08:00
    @br00k 想问下你的nginx是怎么配置https的,麻烦指点下!
    leavic
        40
    leavic  
       2015-06-16 15:18:14 +08:00
    @matsuijurina hahahhah
    br00k
        41
    br00k  
       2015-06-16 16:10:56 +08:00
    dallaslu
        42
    dallaslu  
       2015-06-16 17:16:53 +08:00
    @ak47947
    @br00k
    OSC 上也贴了原文地址 https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.htmlraymii.org 上还有更多相关文章。目前我的 dallaslu.comssllabs.com 上的评分是 A+。
    maxsec
        43
    maxsec  
       2015-06-16 18:07:01 +08:00
    由自己指定CA即可. 补到证书链就不会有这问题了
    xierch
        44
    xierch  
       2015-06-17 00:25:05 +08:00
    @shierji ssllabs 上每一条都没问题啊,

    Certification Authority of WoSign
    Fingerprint: 56faaddc596dcf78d585d83a35bc04b690d12736
    这个到期是 2019/6/25 的,不是你截图里的 2016 年的..

    不知道你截图里那个是哪来的..
    yuankui
        45
    yuankui  
       2015-06-17 09:16:06 +08:00
    @matsuijurina 不影响表达LZ的意思,你懂的~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   913 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:51 · PVG 05:51 · LAX 13:51 · JFK 16:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.