cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了
用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm
图片见
关掉杀毒软件,浏览器自行拦截的提示是:
刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书
这个 CFCA 不知道风评如何?
http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA
1
qwerthhusn 2020-03-09 15:31:51 +08:00 1
https://www.gov.cn/
这个够官方了,人家在用 GlobalSign 的 |
2
lshero 2020-03-09 15:53:31 +08:00
这还算是通过了 WebTrust 审计的
感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用 |
3
dndx 2020-03-09 16:08:48 +08:00 1
不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。
|
4
derekwei 2020-03-09 17:36:37 +08:00
各种网银加金融基础设施认证都用他家的证书...
|
5
yohanechan 2020-03-09 18:01:30 +08:00 2
当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上
但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便 大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site |
6
eason1874 2020-03-09 20:58:44 +08:00
微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。
|
7
mytsing520 2020-03-09 21:38:03 +08:00
Google Chrome、Microsoft 有信任这个
|
8
loukky 2020-03-09 23:55:14 +08:00 via Android
Android chrome 可以直接打开
|
9
lc7029 2020-03-10 00:39:29 +08:00
不信任,用它还不如自签证书
|
10
domosekai 2020-03-10 00:51:49 +08:00
中邮海外购用这个
|
11
Windelight 2020-03-10 07:51:31 +08:00 via Android
中金 CA 可以說還是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。
另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。 此处中国不包括 Hongkong Post 和 Taiwan CA |
12
Explr 2020-03-10 09:45:57 +08:00 1
我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。
|
13
lovedebug 2020-03-10 10:01:06 +08:00
自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。
|
14
whileFalse 2020-03-10 10:40:50 +08:00
CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。
|
15
baobao1270 2020-03-10 14:15:37 +08:00 1
我禁用了的,目前并无不便。
|
16
julyclyde 2020-03-10 14:21:49 +08:00 1
|
17
Xusually 2020-03-10 16:18:41 +08:00
不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。
然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。 摊手.jpg |
19
jwenjian 2020-03-10 20:28:11 +08:00
CFCA 的证书为啥不信任?金融体系离不了...
|
21
Cert 2021-04-15 05:22:20 +08:00 via Android
不要信任。自称跟金融有关,但是没有一个银行的网银用 CFCA 的证书。中央各部委网站,也只有外交部在用 CFCA 证书
|
22
tia 2021-04-21 15:25:13 +08:00
|
25
hhhsuan 293 天前 via Android
12306 用的是 cfca 的证书,我之前把我的安卓手机上的 cfca 证书禁用了,最近国内回家买票发现 12306 用不了,开始也没想到是这个原因,折腾了三天最后才发现。经验教训就是,如果生活在国内,还是不能禁用
|