V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
crella
V2EX  ›  程序员

你们信任 CFCA 证书吗?

  •  
  •   crella · 2020-03-09 14:48:06 +08:00 · 7579 次点击
    这是一个创建于 1727 天前的主题,其中的信息可能已经有所发展或是发生改变。

    cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了

    用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm

    图片见 cert02.jpg

    关掉杀毒软件,浏览器自行拦截的提示是: cert03.jpg

    刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书

    这个 CFCA 不知道风评如何?

    http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA

    25 条回复    2024-02-11 13:27:58 +08:00
    qwerthhusn
        1
    qwerthhusn  
       2020-03-09 15:31:51 +08:00   ❤️ 1
    https://www.gov.cn/
    这个够官方了,人家在用 GlobalSign 的
    lshero
        2
    lshero  
       2020-03-09 15:53:31 +08:00
    这还算是通过了 WebTrust 审计的
    感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用
    dndx
        3
    dndx  
       2020-03-09 16:08:48 +08:00   ❤️ 1
    不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。
    derekwei
        4
    derekwei  
       2020-03-09 17:36:37 +08:00
    各种网银加金融基础设施认证都用他家的证书...
    yohanechan
        5
    yohanechan  
       2020-03-09 18:01:30 +08:00   ❤️ 2
    当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上
    但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便
    大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site
    eason1874
        6
    eason1874  
       2020-03-09 20:58:44 +08:00
    微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。
    mytsing520
        7
    mytsing520  
       2020-03-09 21:38:03 +08:00
    Google Chrome、Microsoft 有信任这个
    loukky
        8
    loukky  
       2020-03-09 23:55:14 +08:00 via Android
    Android chrome 可以直接打开
    lc7029
        9
    lc7029  
       2020-03-10 00:39:29 +08:00
    不信任,用它还不如自签证书
    domosekai
        10
    domosekai  
       2020-03-10 00:51:49 +08:00
    中邮海外购用这个
    Windelight
        11
    Windelight  
       2020-03-10 07:51:31 +08:00 via Android
    中金 CA 可以說還是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。
    另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。


    此处中国不包括 Hongkong Post 和 Taiwan CA
    Explr
        12
    Explr  
       2020-03-10 09:45:57 +08:00   ❤️ 1
    我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。
    lovedebug
        13
    lovedebug  
       2020-03-10 10:01:06 +08:00
    自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。
    whileFalse
        14
    whileFalse  
       2020-03-10 10:40:50 +08:00
    CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。
    baobao1270
        15
    baobao1270  
       2020-03-10 14:15:37 +08:00   ❤️ 1
    我禁用了的,目前并无不便。
    julyclyde
        16
    julyclyde  
       2020-03-10 14:21:49 +08:00   ❤️ 1
    @whileFalse cfca 没资格签发 gov.cn 的域名的。这属于专业类的,gov.cn 根本不会问他们做生意
    Xusually
        17
    Xusually  
       2020-03-10 16:18:41 +08:00
    不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。
    然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。
    摊手.jpg
    Semidio
        18
    Semidio  
       2020-03-10 19:33:10 +08:00 via iPhone
    @julyclyde 但是上面图里的不是 gov.cn 域名吗?
    jwenjian
        19
    jwenjian  
       2020-03-10 20:28:11 +08:00
    CFCA 的证书为啥不信任?金融体系离不了...
    julyclyde
        20
    julyclyde  
       2020-03-11 11:15:15 +08:00
    @Semidio 我错了
    Cert
        21
    Cert  
       2021-04-15 05:22:20 +08:00 via Android
    不要信任。自称跟金融有关,但是没有一个银行的网银用 CFCA 的证书。中央各部委网站,也只有外交部在用 CFCA 证书
    Cert
        23
    Cert  
       2021-05-22 01:21:53 +08:00 via Android
    @tia 辛苦你了,想请问一下你是怎么整理出这些网址的呢?想想你学习一下方法
    tia
        24
    tia  
       2021-05-22 01:36:52 +08:00
    @Cert #23 网站下面都有链接啊
    hhhsuan
        25
    hhhsuan  
       293 天前 via Android
    12306 用的是 cfca 的证书,我之前把我的安卓手机上的 cfca 证书禁用了,最近国内回家买票发现 12306 用不了,开始也没想到是这个原因,折腾了三天最后才发现。经验教训就是,如果生活在国内,还是不能禁用
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2912 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:15 · PVG 08:15 · LAX 16:15 · JFK 19:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.