9
10
2016
6

如何取消对 WoSign 根证书的信任

本文来自依云's Blog,转载请注明。

WoSign 最近曝出一大堆问题,而且其处理问题的态度、解决问题的方式十分令人担忧。其官方形象也很糟糕,比如对国内 Let's Encrypt 用户进行 FUD 式威胁,比如只吊销了因 bug 误发的 GitHub 域名的证书,给某大学误发的证书视若无睹。具体问题有兴趣的可以去相关邮件组查看讨论。

这次问题我认为比起 CNNIC 要严重多了(最主要是这态度、这水准,就算它不主动作恶,也很容易被利用的样子),所以我获知情况之后就取消对了 WoSign 的信任。StartCom 签名 WoSign 的证书,所以需要一并吊销(反正也是一家人)。

火狐(桌面版)

依次打开「首选项」->「高级」->「证书」->「查看证书」,找到并选择 StartCom 和 WoSign 下的所有证书(使用 Shift 键可以选择连续的项目),然后点「编辑信任」按钮,取消弹出框中三个选项框的勾选。

Arch Linux

archlinuxcn 源用户直接执行命令:

sudo pacman -Sy revoke-disputable-ca

手动操作的话,是这样子。把需要取消信任的证书复制(不要软链接)到 /etc/ca-certificates/trust-source/blacklist/ 目录下,然后执行 update-ca-trust 命令即可。

我那个包里取消信任的证书是下边这八个:

CA_WoSign_ECC_Root.pem                    CNNIC_ROOT.pem                          StartCom_Certification_Authority_G2.pem  WoSign_China.pem
Certification_Authority_of_WoSign_G2.pem  StartCom_Certification_Authority.1.pem  StartCom_Certification_Authority.pem     WoSign.pem

Android

在「设置」->「安全」->「受信任的凭据」中禁用掉相关证书。这对 Opera Mobile 有效,但是对火狐无效。

目前还没找到火狐 Android 版禁用根证书的方式。

确认方法

访问 https://www.wosign.com/ 即可。

目前 USTC 已经更改证书,禁用这些根证书不影响 USTC 镜像源的使用。现在我因此不能访问的网站主要是 Python 邮件列表

Category: 网络 | Tags: http ssl 安全 | Read Count: 9590
荔枝 说:
Sep 10, 2016 03:54:34 PM

前两天看到新闻之后已成功吊销~

smallville 说:
Sep 10, 2016 08:11:48 PM

sudo pacman -Sy revoke-disputable-ca
update-ca-trust
这个方法对chromium无效?

Avatar_small
依云 说:
Sep 10, 2016 09:40:33 PM

我这里对 Google Chrome 有效呢。

另外你不需要手动执行 update-ca-trust 的。

smallville 说:
Sep 10, 2016 10:38:08 PM

嗯,chromium确实还可访问,这里都显示“不可信”了,
http://dimg.vim-cn.com/56/c05a24b35dbbd3c72bdc6c439c913b87f13d34.png
Opera则不用作任何其他设置就可完成阻止访问。

静静 说:
Nov 25, 2016 07:17:54 PM

请问百度也是使用WoSign吗?

Avatar_small
依云 说:
Nov 25, 2016 08:24:18 PM

百度当然不用 WoSign 啦~它用的是 Symantec 的证书。这个你点开看一下就知道了呀。


登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter

部分静态文件存储由又拍云存储提供。 | Theme: Aeros 2.0 by TheBuckmaker.com