这是一个创建于 2046 天前的主题,其中的信息可能已经有所发展或是发生改变。
cnnic wosign starcom 早有耳闻,今天才碰到一个要 CFCA 证书的网站,在访问前被拦截了
用了该证书的网址有 https://www.fmprc.gov.cn/chn/gxh/tyb/fyrbt/t803799.htm
图片见 
关掉杀毒软件,浏览器自行拦截的提示是: 
刚才特意查了一下,四大行的个人网银都用 digicert 或者 secure site pro 证书
这个 CFCA 不知道风评如何?
http://bbs.uestc.edu.cn/forum.php?mod=viewthread&tid=1470165 这个 2014 的帖子里面提到不要信任 CFCA
 | 1 qwerthhusn 2020-03-09 15:31:51 +08:00  1 https://www.gov.cn/ 这个够官方了,人家在用 GlobalSign 的 |
 | 2 lshero 2020-03-09 15:53:31 +08:00 这还算是通过了 WebTrust 审计的 感觉那一堆 xx 省 /xx 市数字认证中心证书需要手动信任才能使用 |
 | 3 dndx 2020-03-09 16:08:48 +08:00 1 不担心,对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高,只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。 |
 | 4 derekwei 2020-03-09 17:36:37 +08:00 各种网银加金融基础设施认证都用他家的证书... |
 | 5 yohanechan 2020-03-09 18:01:30 +08:00 2 当年 CNNIC 事件估计是遇到了大鱼,不惜牺牲一个 CA 也要 MITM,建议先评估自己是否值得被有关部门盯上 但我仍然不反对禁用 CFCA,因为使用 CFCA 的网站太少了,禁用后几乎感受不到不便 大至工商银行,小至地方银行基本都用 DigiCert 或 DigiCert 旗下的 Secure Site |
 | 微软信任列表里有这个,你出现这个提示是因为自己删了根证书吧。 |
 | 7 mytsing520 PRO Google Chrome、Microsoft 有信任这个 |
 | 8 loukky 2020-03-09 23:55:14 +08:00 via Android Android chrome 可以直接打开 |
 | 9 lc7029 2020-03-10 00:39:29 +08:00 不信任,用它还不如自签证书 |
 | 10 domosekai 2020-03-10 00:51:49 +08:00 中邮海外购用这个 |
 | 11 Windelight 2020-03-10 07:51:31 +08:00 via Android 中金 CA 可以是值得信赖的(不是中金公司的,是人行),虽然没有多少人在 web 上用,但是他们家的 ukey 和客户端证书还是很多的。 另外不要直接一键干掉所有的中国 CA,毕竟我们也要发展。信任重建也是一个艰难的过程。人民银行的数据库可以留五年,而国际信任体系却不知道能多少年。 此处中国不包括 Hongkong Post 和 Taiwan CA |
 | 12 Explr 2020-03-10 09:45:57 +08:00 1 我还是手动禁用了。首先,使用 CFCA 的站点并不多,日常碰见的很少。其次,遇到使用 CFCA 证书的网站,如果访问的网站有可能使用 CFCA 证书,可验证证书后手动继续访问。这种操作可以避免在不知情的情况下遇到证书错误问题。提升安全性的同时,略微增加了操作步骤。 |
 | 13 lovedebug 2020-03-10 10:01:06 +08:00 自己手动加入不可信 root ca 列表。另外需要注意下 chrome 和 IE 使用操作系统自己的管理中心,firefox 是浏览器内置的。 |
 | 14 whileFalse 2020-03-10 10:40:50 +08:00 CA 要是能设置信任域就好了。我信任 CFCA 签署的*.gov.cn 域名。如果扩大一点的话,*.cn 也行。但我不信任他签署的任何 cn 之外的国家域名。对于.net .com 之类的通用域名来说,就白名单了吧。 |
 | 15 baobao1270 2020-03-10 14:15:37 +08:00 1 我禁用了的,目前并无不便。 |
 | 16 julyclyde 2020-03-10 14:21:49 +08:00 1 |
 | 17 Xusually 2020-03-10 16:18:41 +08:00 不说别的,这 CA 除非你手动禁用,浏览器和系统都是信任的。 然后,楼主给的那个地址,标题就是 AntiChinaCerts。。所以也算不上什么证明 CFCA 有问题的证据。反正是 China 的证书,Anti 即可。 摊手.jpg |
 | 19 jwenjian 2020-03-10 20:28:11 +08:00 CFCA 的证书为啥不信任?金融体系离不了... |
 | 21 Cert 2021-04-15 05:22:20 +08:00 via Android 不要信任。自称跟金融有关,但是没有一个银行的网银用 CFCA 的证书。中央各部委网站,也只有外交部在用 CFCA 证书 |
 | 22 tia 2021-04-21 15:25:13 +08:00 |
 | 25 hhhsuan 2024-02-11 13:27:58 +08:00 via Android 12306 用的是 cfca 的证书,我之前把我的安卓手机上的 cfca 证书禁用了,最近国内回家买票发现 12306 用不了,开始也没想到是这个原因,折腾了三天最后才发现。经验教训就是,如果生活在国内,还是不能禁用 |
Select Language