我对最近关于https安全问题争论的看法

mengld

特斯拉 发表于 2014-10-7 14:15
12306都舍不得买个证书呵呵。其实我一般公共的也不用因为连不上哈哈，自己每月1300m流量用不完，家里事百 ...

其实是买了的，应该在支付页面就用了可信证书。之前用的是自己的证书，不在可信证书里

zkvvabcd

卧槽大神抱大腿

xieao100

zanti dsploit 这类手机端的可以！在免费wifi下就可以！

ikimi

mengld 发表于 2014-10-6 19:24
1.证书这个不评论，感情国内证书滥用特别严重
2.12306用了自己的证书，相信购票的全部导入了这个证书，相 ...

非业内人士交流一下自己的愚见

对于涉及个人/企业客户私密信息（如网银）及确保交易安全（如在线支付）的站点，建议部署SSL证书，且以EV SSL证书为佳。

目前，五大行（工农中建交）网银入口均部署了SSL证书，除了建行，其余四家银行部署的SSL证书是该种类证书中最高级的EV SSL证书。

12306根证书有三处比较明显的缺陷：

1、根证书不受任一操作系统（如WINDOWS）、浏览器厂商（MOZILLA）初始信任，也未取得任一CA（含微软）签发的交叉证书；

2、公钥长度不足2048bit，美国国家标准技术研究院要求各CA在2010年12月31日之前停止使用1024bitRSA算法的证书；

3、证书吊销列表（http://192.168.9.149/crl1.crl）在互联网环境中无法访问，与无CRL效果几乎同，这对于SSL证书来说是一个比较大的缺陷。

此外，不知SRCA支持OCSP吗？

zkx6762

不明觉厉。给个赞

fireware15

好文，恰好这次微软邮箱的事情。目前也只能是肉眼了，多个心眼。

独孤无语

https（Layer7）本身是啥没问题，目前就在于IP（Layer3）的问题，这个没办法，协议本身就没有考虑安全的问题。不知道IPv6应该是可以解决。。。

好运一生

不知不觉有点深奥

lzkfzr

bywy-win 发表于 2014-10-6 00:07
我只觉得百度云能用https挺良心的。。

我才发现，，，之前一直不能的

mefanfine

有些高森啊，比较看不懂，能写个如何防护安全的么