485 评论

老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿

★前一篇博文的补遗


  前一篇博文通告了“评论区的新功能——发帖不刷页面”。该功能上线后,发现了几个严重 Bug,大约在9月3日都已经解决了。
  在此,向那些帮忙测试帮忙反馈问题的热心读者,表示衷心感谢 :) 俺这个博客走到今天,离不开许许多多热心读者的支持。
  自从上线了这个功能,俺处理博文评论(尤其是评论很多的博文),效率至少提升了一个数量级。效率提升之后,俺最大的一个感慨是:早就该实现这个功能了 :(
  另外,
  为了实现此次的新功能,俺已经对 Blogspot 的评论区界面作了很多改动。所以俺考虑,干脆把 Blogspot 的评论区界面全部替换为俺自己的代码。如果这个能搞定,今后就无需在 Blogspot 评论系统的代码中进行修修补补了。初步计划在“十一假期”来搞这个改造。


  下面言归正传。
  最近两周,看到了很多关于沃通的丑闻,再加上也有热心读者建议俺聊聊此事。今天特来发一篇抹黑沃通的博文 :)

★“沃通”是个啥玩意儿?


  “沃通”,洋名叫做“WoSign”。简而言之,是咱们天朝的一家数字证书颁发机构。(“数字证书颁发机构”,洋文简称“CA”。为了打字省力,本文以下部分用 CA 来称呼“数字证书颁发机构”)
  为了让大伙儿更加了解这家 CA 的底细,俺稍微说一下该机构的背景。
  目前的 CEO 叫做王高华,经过某些网友的人肉搜索,此人曾经担任过【深圳市信息网络中心总工程师】。看样子是从体制内出来滴。
  “沃通”是由“王高华、张千夫、某个奇虎360全资子公司”三方一起合资成立。这三方,据说是“奇虎360”占大头。这个“奇虎360”,也就是出品“360安全卫士/360杀毒”那家公司。它的老板周鸿祎,那可是流氓中的战斗机。当年就是靠做流氓软件(臭名昭著的“3721上网助手”)而发家的。大伙儿可别小瞧了他。

★“CA 的重要性”以及“不靠谱 CA 的危险性”


  (对 CA 及证书不太了解的同学,建议先看教程《数字证书及 CA 的扫盲介绍》)
  想必大伙儿都听说过 HTTPS 协议(也就是“加密的 HTTP”协议)。如果你正在看俺博客的页面,你只需要瞄一眼浏览器地址栏,这篇博文的网址就是以 https:// 开头滴。
  HTTPS 的加密,需要依赖于 CA 证书;而 CA 证书就是由 CA 颁发滴。
  说到这儿,头脑清楚滴读者就已经意识到 CA 有多么重要了。
  通俗地说,如果某个 CA 不靠谱,那么该 CA 颁发的证书也就不靠谱;如果某个网站使用了这个不靠谱的证书来部署网站的 HTTPS 加密传输,那么这个加密传输也跟着不靠谱了。当 HTTPS 的传输不靠谱,就意味着——加密流量有可能被【偷窥】甚至有可能被【篡改】。
  (如果你想对 HTTPS 协议有更多的了解,可以看俺的另一个教程《扫盲 HTTPS 和 SSL/TLS 协议》)

★为啥说“沃通是非常【不】靠谱的 CA”?


  刚才介绍完背景,可能已经有人感觉到沃通是有问题滴。但是俺不能凭空污人清白,下面咱们要来摆事实,讲道理——介绍一下近期曝光的【沃通丑闻】。
  话说有个英国程序员 Gervase Markham,他无意中发现了沃通的一些严重问题,并在Mozilla 的安全讨论组进行曝光(帖子链接在“这里”)。
  他至少提到了三个与沃通有关的严重问题:
  问题1
  沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;
  编程随想点评:这点说明沃通的“合规性”不够,相比后面两个,这已经是小问题了。

  问题2
  证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;
  已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。由于此事很严重,连新浪都报道了(链接在“这里”)
  编程随想点评:一个号称全国最大的 CA,竟然犯如此低级的错误,你觉得这家 CA 能靠谱吗?

  问题3
  被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:
  由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。
  沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。
  编程随想点评:CA 象征着【权威认证】机构。如果一家 CA 去玩这种伪造日期的花样,它还有啥节操可言?

  问题4
  除了英国程序员曝光的那3个问题,再来说一下其他人曝光的问题——
  沃通在2015年4月9日到4月14日之间,签发了392个【相同序列号】的证书。
  编程随想点评:证书的序列号要确保唯一性。沃通竟然在短短5天之内,签发了几百个相同序列号的证书,足见其内部管理有严重问题。

  其它问题
  以上列举的4件事情,仅仅是已经曝光的丑闻的一部分。甚至可能是冰山一角。Mozilla 在其官网列出了沃通目前已经曝光的丑闻(链接在“这里”)。

★“沃通”与“StartCom”的关系


  前面聊沃通的家丑,提到了 StartCom,下面俺来介绍一下两者的关系。先看几篇报道:
沃通被指秘密收购了StartCom @ solidot
沃通(WoSign)被指秘密收购以色列CA:StartCom @ cnBeta
韓國資安研究員踢爆:以色列StartSSL憑證主機竟在奇虎360中國機房 @ iThome

  沃通作为商业机构,并购其它 CA,本来无可厚非的。但是这几篇报道中都提到了一个定语——【秘密】收购。
  并购国外知名的 CA,本来是很风光的事情,沃通为啥要藏着掖着?这不禁让俺想起了抗日影片中的经典台词——悄悄滴进村,打枪滴不要。
  沃通是天朝的 CA,其客户主要在国内;而 StartCom 是全球有名的 CA,客户遍布全世界。俺不禁邪恶地猜想:或许沃通想利用 StartCom 来干一些不为人知的勾当。如果真是这样的话,那曾经知名的 StartCom,就跟“沃通”一样,彻底不可信了。

★“沃通”的其它破事儿


  聊完“沃通与 StartCom 的关系”,再顺便提一下“沃通”的另一个破事儿——采用“连哄带吓”的招数,诱骗用户放弃国外 CA(Let's Encrypt)颁发的证书,改用沃通的证书。
  下面是某网友曝光的邮件截屏。
不见图 请翻墙

  顺便说一下:
  被沃通诋毁的【Let's Encrypt】,恰恰是一个比较靠谱的 CA,而且它【不是】商业机构,而是以【公益】的方式普及 CA 证书。向它提供赞助的包括:电子前哨基金会/EFF,Mozilla 基金会,Linux 基金会,思科,Akamai......
  关于它的更多介绍可以参见维基百科“这里”。

★据说 Mozilla 准备采取行动了


  (Mozilla 也就是开发火狐浏览器的非盈利组织)
  由于沃通的家丑外扬,已经有很多热心网友要求 Mozilla 组织对沃通采取行动。所谓的“采取行动”,也就是把 Firefox 中默认内置的“沃通根证书”去掉。
  假如这么干了之后,那么 Firefox 默认情况下就不再信任“沃通的根证书”,同时也不再信任“由沃通根证书签发的下级证书”。考虑到 Firefox 的市场份额,这对沃通将是一个打击。而且 Google 的 Chrome 也可能会跟进。

★大伙儿的应对策略


  虽说 Mozilla 已经开始警告沃通,但是大伙儿也不可太乐观。
  6年前(2010),俺曾经发文狠批老流氓 CNNIC,并号召大伙儿删除它的根证书。那之后又过了5年(2015),Mozilla 的 Firefox、Google 的 Android、还有苹果的 Mac OS,才终于把 CNNIC 根证书从信任列表中除掉了(由于被几大厂商拉黑,如今 CNNIC 官网也【不用】自己的证书,改用国外的证书,很讽刺吧)
  如果 Mozilla、Google、微软这些浏览器厂商或操作系统厂商迟迟不采取行动,那么大伙儿就要靠自己动手了。
  做法很简单——把不靠谱的 CA 证书禁用。具体的操作细节,可以参考俺6年前(2010)的博文《CNNIC 证书的危害及各种清除方法》。当年那篇讲的是如何删除 CNNIC 证书,你只需要依葫芦画瓢就行了。
  需要提醒一下:
  你不光要禁用“沃通的所有证书”,还要禁用“StartCom 的所有证书”——前面说了,StartCom 已经被沃通并购。
  由于沃通的根证书在国内用的比较多,当你禁用了沃通证书之后,访问某些国内网站,浏览器会给出证书警告。如果你嫌每次警告太麻烦,并且你确定该网站是可信的,你只需把当前网站的证书加入可信状态就可以了(沃通根证书依然保持禁用状态)


俺博客上,和本文相关的帖子(需翻墙)
数字证书及 CA 的扫盲介绍
CNNIC 干过的那些破事儿
CNNIC 证书的危害及各种清除方法
扫盲 HTTPS 和 SSL/TLS 协议(系列)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.de/2016/09/About-WoSign.html

485 条评论

  1. 回复
    1. 补充一个细节:苹果也吊销了CNNIC的证书了,只不过比较低调而已,所以媒体晚了半年才注意到。

      删除
    2. TO 1单元的网友
      多谢提醒 :)
      刚才已经补充到博文中。

      删除
    3. https://program-think.blogspot.com/2010/02/remove-cnnic-cert.html
      这篇博文提到的:
      4. 先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。
      “这个页面”指向的链接现在失效了。

      删除
    4. 现在评论界面友好多了

      删除
    5. privoxy在Linux系统中怎么启动啊?

      删除
    6. TO 博主
      1.如果根证书用的是不够安全的sha1算法,那会不会影响签发的算法用的是sha256子证书的可靠性?(我不是很确定这样表述对不对,博主应该能理解吧)

      2.那个李敏发的邮件中提到,“使用国外证书,用户每一次访问会向”服务器发送请求,IP地址、浏览器信息会被记录,这个是真的吗?

      我不是很理解PKI这个东西。《韩国资安研究员踢爆:以色列StartSSL凭证主机竟在奇虎360中国机房》,这个是说用Startcom证书会向360的服务器发送请求?“IP地址、浏览器信息会被记录”吗?

      删除
    7. Tom:"使用国外证书,用户每一次访问会向服务器发送请求"--这句话里的服务器如果指的是CA机构的服务器,那就是误导。

      删除
    8. 最近开学了,所以没办法第一时间来给博主捧场。周末翻墙出来吸收吸收新鲜空气。顺便求博主推荐几本关于近代史比较客观的书籍,我不想被洗脑了。

      删除
    9. TO 3单元的网友
      非常感谢提醒旧博文的死链接 :)
      待会儿俺去修改一下

      删除
    10. TO Hou Shin
      多谢夸奖评论区的界面 :)
      评论区这次的改版,主要是提升了回帖的效率。

      删除
    11. TO 5单元的网友
      关于 privoxy 在 Linux 的启动,可以参考其官网的如下文档:
      https://www.privoxy.org/user-manual/startup.html

      删除
    12. TO Tom
      针对你的几个问题,说说俺个人观点,供参考:
      1、
      假设这个根证书是很早以前就被你的系统信任(那时候 SHA1 还是可靠的)
      如今你的系统收到一个使用 SHA256 的次级证书。
      这时候 SHA1 的弱点应该不影响根证书对次级证书的验证。
      另一种情况是:
      如今你的系统因为某种原因新加了一个根证书,并且使用 SHA1 作为 hash 算法。
      从技术上讲,这个证书【有可能】是被攻击者伪造的。

      2、
      需要的上级证书通常都已经内置在你的系统中或浏览器。
      (Firefox 自带证书体系,Chrome 和 IE 依赖 OS 的证书体系)
      当你访问某个 HTTPS 的网站,通常不需要再访问证书服务器。
      为了【眼见为实】
      你可以使用浏览器的“开发者工具”(Firefox 和 Chrome 都自带),其中有一个“网络监控”的功能。
      然后你打开一个 HTTPS 的页面,就可以知道浏览器总共访问了多少东西。

      3、
      那篇文章的作者,主要是惊讶于——StartSSL 的凭证已经被 360 完全掌控了。而 360 的名声又很差。
      如果360愿意的话,它可以用 StartCom 的根证书制作针对任何网站的证书,(如果再配合“域名污染”或“域名劫持”)可以搞各种中间人攻击。

      删除
    13. TO 地铁迷一枚
      多谢捧场 :)

      关于近代史的书,曾经在[url=https://github.com/programthink/books]俺的网盘[/url]上分享过一些。
      你可以到如下分类目录找
      历史 / 中国 / 近代史

      删除
    14. 1.CNNIC又杀回来了,不过现在用的是国外的DigiCert证书,暂时看起来与安全无涉,不必盲目拉黑DigiCert证书。
      https://www.cnnic.cn/

      2.禁用“StartCom 的所有证书“之后,蓝灯官网也打不开了,原来它用的也是StartCom证书。
      https://getlantern.org/

      删除
    15. 徐中约 《中国近代史(未删版)》 秦晖《走出帝制》

      删除
    16. TO 10单元
      还是不行,用个linux系统要学太多东西了,安装,运行软件都要代码,好不容易学会安装linux下的vmware tools,lantern,连图标都没有,lantern还能在左上角搜索到图标打开,privoxy下载了deb安装后竟然搜索不到,复制你文档里的命令也不行,博主还是写一篇每一步尤其是代码每一步都不能少

      删除
    17. 非常感谢博主和14单元的推荐,刚刚去您的网盘上看了下,已经下载了《中国近代史》,对您分享的关于六四的书感兴趣,只是不敢下载,怕被查水表。

      删除
    18. 希望编程君提及热点事件。也就是每次发表每周转载的博文尾部,加入最近所有热点事件的关键字,让读者做扩展搜索。热点事件太多,能挑出来分享的很少,读者也会把喜欢的事件反馈到评论区,最热门的就放在下篇每周转载吧

      删除
    19. 其他类型的博文也可以照搬阿。但考虑到坑太多,而且写起来比每周转载费力,不建议编程君那么做了:)

      删除
    20. 我是16单元和被吞的15.5单元:(
      最好引导引导大家,把自己认为值得讨论的事件,都约定俗成的留言在最近一篇每周转载的第二单元。评论区都是几百条几百条规模了,看了容易忘记。

      删除
    21. 没想到 StartCom已经被 WoSign收购了
      想起自己的博客还挂着 StartCom的证书
      于是问下有没有合适的比较便宜的证书可以替代
      学生党没啥钱

      删除
    22. TO 东风谷早苗
      可以用Let's Encrypt。就是配置看起来繁琐点。
      俺在https://www.ssllabs.com/ssltest/测试了几个用Let's Encrypt的网站,如https://prism-break.org/SSL安全等级还很高呢。

      删除
    23. 多谢提醒,看了下貌似就是配置自动更新比较麻烦,晚上好好琢磨琢磨

      删除
    24. 我是16单元,编程君你把我的评论删掉了?我一共发了三条,一条被google吞了,一条在16单元,另一条通过google验证码发表了出来后,我亲自手动刷新了一遍,正常显示,也就是放到了原本的17单元。过几个小时再来看,就没了?

      删除
    25. 对于这种,他的言论还有什么谬误?
      从天然的爱国者到觉醒的草泥马,可能进化为逆向民族主义,分裂主义者,再变成为所谓的“小粉红”和“自干五”,似乎是涨脑仁的必修课。

      反正我本人就是就是这么过来的,而且就这么几天。大体上也是左右思量这个,思量那个,最终我发现我还是希望中国强盛起来,否则200年的国耻我绕不过去,再一个是即使自认精神外国人,外国人势必不可能认我。

      此外我还衍生出了一种反西方霸权的情绪,目的不是为了证明中国人牛逼或者是中国牛逼,反正我看到西方人对中国的那种高高在上的语气心里当然不舒服。然而,党的韬光养晦是成功的,中国在西方人眼里越穷越落后,其实对中国越有利,不然民意反转,中国成为了西方人的靶子,那就有点呵呵了。

      再说说这个墙外舆论,其实推特和G+也是傻逼脑残的聚集地,本质上追求民主是好的,奈何大多数人不读书,懒于思考,随便把民逗们编的段子当真,天天骂来骂去,智商连党的村官都不如了。更有甚者直接逆向歧视,比如港灿的台湾绿皮。

      这帮人里头其实不缺拿工资的【此次质疑动机】,这也间接反应了国际政治的丑恶,那么更可以断定西方没按好心了。

      我对编程随想的评价就是:他是一个唯西方论者。首先站在西方文化的角度上叙述中国的问题,本质上就错了,因为中国不是西方。还能衍生出一个提问,那就是西方文化真的能够在这个世界上站得住脚吗?怎么能证明西方推广的政治文化就不是一个谎言呢?

      删除
    26. 博主有没有儿子,这个年纪你孩子也长大了吧,有让他也一起来反共?跟你同一个水平的中文反共博客几乎没有,xiaolan也退出了,需要更多的人加入

      删除
    27. 我是16单元,这是第五条留言,顺带测试一下古哥的反应!

      删除
    28. TO 博主
      1.确实是没有在 Chrome 的开发者工具里里看到过除网站外的其他访问。

      2.Wosign的CEO王高华曾经在一条微博上说“每张证书都含有吊销列表,俗称证书黑名单,用户每次https访问部署了SSL证书的网站时,浏览器都会到证书颁发机构的吊销列表服务器上查询此证书是否被吊销”。

      但是我用GFW技术评论的博主推荐的 Wireshark 抓包也没有发现浏览器访问了吊销列表(是在证书里的“ CRL 分发点”给的那个URL吗)。我有点疑惑,吊销列表这个是怎么运作的。

      3.27楼 1单元说“是的,OCSP。”我不知道 OCSP 这个东西是啥。

      删除
    29. 4.博主的版权声明可以使用CC协议啊,这样看起来更加正式:)

      删除
    30. #这条不是对博主的提问。
      有讽刺意味的是Wosign的CEO王高华曾经发过一条微博称,
      “刚刚发现Google Chrome网上应用店(http://t.cn/S6jIyl所使用的SSL证书是在Google Internet Authority中级根证书颁发。并发现两大安全问题:
      (1) 根证书和网站证书都是不安全的1024位密钥长度;
      (2) 用户证书居然是全用途的,应该限制为服务器身份验证用途。
      看来,数字证书并非Google所擅长的领域哦。

      现在轮到他了,却说自己英语不行,无法理解可能造成漏洞的国际标准。
      "due to the English language limit, we know we can't understand all related international standard that it may have some bugs in the system in the past and maybe in the future."

      删除
    31. #上一条有表述问题。
      “无法理解可能造成漏洞的国际标准”应该为“无法理解有关的国际标准”。

      删除
    32. 5.继续提问。这条是关于虚拟机的host-only问题的。
      我使用的是博主推荐的 Virtualbox,虚拟机装的是 Windows server 2008.

      Virtualbox在Host OS的虚拟网卡设置相关的VirtualBox Host-Only Network默认是,我没有改动,
      使用下面的 IP 地址:
      IP 地址:192.168.56.1
      子网掩码:255.255.255.0

      Host OS的另一块能上网的网卡设置是 IP 地址:192.168.1.100

      Guest OS的网卡设置是自动获得 IP 地址。
      我看到自动获得的配置是:
      IPv4 地址:192.168.56.101
      IPv4 子网掩码:255.255.255.0
      IPv4 默认网关:(这里没有)
      IPv4 DHCP服务器:192.168.56.100

      问题是Guest OS要连接Host OS,对于Guest OS来说,IP 地址是哪个。192.168.56.1,192.168.56.101,192.168.56.100,192.168.1.100?

      这四个我都尝试连接了,但都连接不上,也尝试过关闭虚拟机里的Windows Firewall。

      (对了,系统代理是去 Internet 属性-->局域网设置,在对应的地方填上IP地址和端口就可以了吧。)

      删除
    33. TO 25单元
      你去下一个firefox然后选项-高级-证书里面就有一个“查询 OCSP 响应服务器,以确认证书当前是否有效”,又或者你直接就Google,“OCSP”或者“在线证书状态协议”,又或者https://zh.wikipedia.org/wiki/%E5%9C%A8%E7%BA%BF%E8%AF%81%E4%B9%A6%E7%8A%B6%E6%80%81%E5%8D%8F%E8%AE%AE,任君选择。

      删除
  2. 哈哈,好文

    打卡 9月8日 22:27

    回复删除
    回复
    1. 请问博主,双虚拟机和但虚拟机的区别只是,前置代理不可靠的问题吗?假如我也开双虚拟机,网络不直接连在主机上,而是连在双网卡虚拟机里面是不是也一样啊?

      删除
    2. 上一篇文章的问题继续
      1ProcessExplorer这个软件都是英文不太会用,而且谷歌教程也很少。我自己研究的不知道是否正确,赛风下的父子进程共有两个:psiphon3.exe和psiphon-tunnel-core.exe,在两个进程下点properties,打开在【TCP/IP】下有关于地址和端口的信息,里面有很多不认识的五位数端口,8080,1080,8118都有,但没有lantern的8787,这是不是能说明赛风没有去直连前置代理lantern?
      4再确定下,这就是说博主不知道怎么弄虚拟号注册国内外网站也不打算研究?那只能我自己研究了
      5主要是视频不容易有遗漏的动作,也节约打字时间,linux下的privoxy都不知道启动图标在哪儿,忘了说如果是用摄像机拍电脑视频还得注意不能暴露声音或录制的合成声音是否可以逆向分析,还得用大一点的手套敲键盘。如果博主坚持只写linux的图文教程最好过程每一步都不能少
      6那就是说博主同意定时删除一月以前的邮件了?

      删除
    3. TO 2单元的网友
      双虚拟机相比单虚拟机,有几个好处。
      除了你提到的“前置代理的客户端不可信”,还有其它:
      比如翻墙工具运行的系统与 Host OS 不一样,单虚拟机就没法玩,双虚拟机可以。

      删除
    4. TO sdager
      针对老熟人的几个问题,俺的回复如下:
      1、
      如果你在 TCP/IP 标签页中没有看到 8787 端口,应该可以确认 OK

      4、
      虚拟号俺没玩过,不过有几个读者在评论区分享过具体的使用方法。
      你可以参考。
      曾经有读者建议俺写一篇相关的教程,但是因为时间关系,一直没动手写。
      如果俺要写教程,就会自己去折腾一下

      5、
      你提到:
      “linux下的privoxy都不知道启动图标在哪儿”
      这个例子,反而体现了视频教程的缺点。
      比如说:
      俺想介绍 privoxy 基于 daemon 的启动方式。然而 Linux 有很多发行版,不同的发行版,配置/启动 daemon 的操作可能都不太一样。
      难道俺要针对每一种发行版,分别录制视频?
      而如果用文字描述,就简单了——相同家族的发行版,配置雷同。俺只需把几个主要的发行版家族,描述一下既可。

      6、
      是的。但时间间隔还没想好。

      删除
    5. 谷歌上复制粘贴来一篇。
      翻墙注册必备-虚拟手机号码
      2016年04月01日
      来源:翻墙博客
      再有在中共严查网络的今天,保护自己就变得非常重要了。翻墙注册国内的帐号,然后在国内网站狂草共匪,唤醒国人。这离不开VPN和接收注册验证码的免费国外电话号码。
      现今的网络时代,每个人都应该保护好自己的个人资料不被泄露。而在平时一些网络账户注册时,除像电子邮箱、在线支付这些重要账户外,其它一般都不建议全部填写个人真实信息,因为你并不知道这些网站是否可以保障到你的个人资料安全。
      另外平时上网活动也要注意这些问题,比如常见的网上留电子邮箱地址,这个就比较大意了,因为别人可以通过网络抓取工具获取这些信息,以用来滥发广告垃圾邮件。如果要留,最好做成图片形式再留。当然,以上只是一个简单举例,更多时候还是要靠我们平时有这个意识。
      下面介绍两个应对注册问题的给力工具,一个是可以虚拟生成个人身份信息,第二个是可以在线接收手机验证码。
      虚拟身份信息在线生成:http://www.fakenamegenerator.com/,可以生成详细身份信息,如姓名、地址、电话、职业、身高血型、社会证件号码等各种信息,并且生成的虚拟电邮地址是可用的,方便接收激活邮件临时使用。这个暂时不支持生成中国的身份证信息,不过网上这种身份证号码生成有很多,大家可以搜索一下。
      方法一:
      手机验证码在线接收:http://pinger.com/tfw/,这是一家提供免费短信服务的美国公司,随便用一个美国的区号就可以注册,如NEW YORK 的区号“10001”,用户注册一个帐号可以免费获取一个属于美国的手机号码,,登录后可以用来免费发送和接收短信。除了在线网页版外,这家公司还提供有Android、iPod、iPhone的相关应用,在应用上可以使用更多功能。
      方法二:
      Google Voice 早已不新鲜,但是它实在太好用,再次推广下。有时候某些美国网站或移动App要求注册时必须使用手机号接收验证码,于是广大非美帝人民就被硬生生挡在了外面。有 Google Voice 就好办了,这是 Google 提供的全功能虚拟美国手机号码服务,可以用它收发短信、拨打接听电话、接收语音邮件等。而且只要对方是美国或加拿大用户、那么不管是短信还是电话全部免费。当然它也能给美国/加拿大以外的用户打国际电话,而且费用超低,比如打到内地或香港只要2美分每分钟!(查看Google Voice国际电话收费标准)
      可惜这么好的服务仅限美国或加拿大使用,要注册的话还是需要一定手段。几天前笔者刚好多注册了一个新号,但是当时没截图,抱歉只能用文字说明大致步骤。
      第一步: 首先挂V,保证是美国/加拿大IP。
      第二步: 访问Google Voice,使用Google账号登陆。
      第三步: 要求填入美国手机号码进行验证。这是最关键也是最麻烦的一步了。你需要填入美国手机号码,然后Google Voice给你打电话,告诉你两位验证码。然后正确填写两位验证码才能通过这一步。可以到virtualphoneline注册个账号获得美国虚拟手机号。登录后访问 http://www.virtualphoneline.com/MyNumbers.php ,最左边的就是你的美国手机号,然后点击【Forwarded To】这一列,选择Google,填入Gmail 邮箱 地址。这样的话所有打到这个号码的电话都会转发到Google Talk上。除了Google,也可以转发到Skype、 MSN上。
      方法三:
      HeyWire 与 TextFree 是可以用来可获取真正美国手机号码与发国际短信的应用,相当于国内的飞信。(在我们购买只对美国人开放的东西的时候可以用!)在有些时候,我们需要通过手机短信验证身份,而服务商又不支持国内电话,这就大大方便了我们。
      HeyWire
      支持中文短信,本软件注册后会分配你一个美国的虚拟号码,此后发送短息到其它手机免费。(走GPRS/WIFI流量)
      1、如果对方也安装了这个软件,发送和回复都是免费的。
      2、如果对方没有安装这个软件,你发送免费,对方回复相当于回复到美国的手机,运营商收取费用1元/条。
      3、接收方不必是你的好友(请不要用来发骚扰短信啊,引起问题后果自负啊)
      4、国内可以发给移动比较好,发给联通、电信听说好像有点问题,大家自己测把。
      软件说明HeyWire支持android,HeyWire支持免费给全球114个国家360家运营商发送短信,而且支持多种语言。
      地纸:http://www.heywire.com/
      lleida.net是 一家西班牙的电信公司,公司地址在业伊达,主要业务是国际网络短信服务。目前,lleida.net推出免费的短信虚拟号服务。这是一个可以发送短信,也 可以接收短信的电话号码,目前提供美国、英国、法国和西班牙四个国家的虚拟号码。lleida.net对新注册用户都免费赠送20点信用,可以用来发送免 费国际短信,显示的是你的虚拟号码,不过每个国家的费率不一样,发送的条数也不一样,lxvoip测试发送中国的费率是一条1.17,而发送到美国只需要 0.25。据凌霄电话论坛坛友反映,lleida.net接收到发送都很快。
      注册也比较简单,打开lleida.net官方网站http://www.lleida.net/en/,点Virtual Numbers for SMS and MMS,填写你的申请资料就可以了,只要邮箱和手机号码正确就可以了,google voice和国内手机号码都可以申请,注册号码格式就可以了。提交之后,lleida.net会给你的手机发送短信验证码,通过验证之后,lleida.net再把帐号资料发送到你的邮箱。登录http://websms.lleida.net/就可以接收和发送短信了。
      申请地址:www.lleida.net

      删除
  3. 回复
    1. 博主,G20峰会的事情下一篇文章该谈了吧

      删除
    2. 我记得很早以前博主说要写TPP也没写

      删除
    3. 川普希拉里不是都发誓要干掉TPP吗,当然西方政客说话就跟放屁一样,上台后再变卦也不稀奇。

      删除
    4. TO fregerr
      多谢提建议 :)
      俺在考虑,要不要聊聊“宽衣”的话题 :)

      删除
    5. TO 2单元、3单元
      说到 TPP
      关键看美国国会是否通过。
      而美国国会要等到总统换届之后,再介入此议题。
      等通过了,俺再整理一篇《每周转载》。
      如果没通过,这个 TPP 就相当于夭折了。也没必要聊了。

      删除
  4. 回复
    1. 已经吊销了沃通的吗_(:з」∠)_?

      删除
    2. 是啊,Arch Linux上把对应的证书移动到 black list就好……

      不过 Kernel.org 还在用Startcom的证书于是_(:з」∠)_

      删除
    3. 还有和在浏览器里禁用证书不同的是 /etc/ca-certificates/trusted/blacklist/ 里的证书不能加例外😂😂

      删除
    4. 连StartCom一起干掉的原因其实是Wosign和StartCom有交叉签名🙄

      删除
    5. TO ヨイツの賢狼ホロ
      多谢老熟人分享 Linux 平台下的禁用操作

      删除
  5. 哈哈��地板,禁掉禁掉

    回复删除
  6. 哎呦喂赶上直播了,那么,既然PKI里又出了个这么大新闻,是不是HTTPS, SSL/TLS那一篇...对吧。三句话不离本行

    回复删除
    回复
    1. 哎呀自己补充句,chengr28的RevokeChinaCerts还是蛮可靠的,戳我https://github.com/chengr28/RevokeChinaCerts

      删除
    2. TO Benny Think.
      俺知道你一直在惦记着那个系列 :)
      (貌似前几个月,你在评论区中催俺填坑)

      另,
      多谢分享 对证书清理门户的工具 :)

      删除
    3. 博主这记性好的我都不敢再催填坑了,还有TPP, G20,楼上有人提了

      删除
    4. 嗯,差不多可以到转载时刻了(不过还是期望博主发原文:p)

      删除
    5. TO Benny Think.
      关于“TPP 和 G20”的建议,俺在楼上回复了

      删除
  7. 我也赶紧去删除 WoSign 和 StartCom。

    回复删除
    回复
    1. TO 音業
      老熟人,看来你对危险证书的警惕性不够高嘛 :)

      删除
  8. 回复
    1. 博主要特別注意安全,無論所謂的熟人還是陌生人

      删除
  9. 中国祖国和平统一委员会(祖平统)2016年9月8日 下午11:04:00

    英语好的可以看撕逼
    https://groups.google.com/d/topic/mozilla.dev.security.policy/k9PBmyLCi8I
    感觉王高华是个高级黑,说出的话完全不像一个”知名CA”该说的

    回复删除
    回复
    1. TO 中国祖国和平统一委员会(祖平统)
      这个就不好说了

      删除
  10. 最近感觉翻墙的速度很慢了,不知道怎么回事。你们有没有感觉?

    回复删除
    回复
    1. TO 13楼的网友
      估计跟 杭州的G20峰会有关。
      根据经验——每当朝廷有啥隆重的盛典,都会加大 GFW 的封锁力度

      删除
  11. 连免费的startssl也不能用了,真是令人遗憾!

    回复删除
    回复
    1. TO 15楼的网友
      如果想要免费的 CA 证书,可以考虑本文中顺便提到的 Let's Encrypt
      口碑还可以

      删除
  12. 博主,我能不能在转载你的一些博客的时候,将一些敏感的东西删掉,毕竟在墙内转发,有点担心查水表

    回复删除
    回复
    1. TO 三二一
      如果因为安全考虑,需要删节,建议在删节处注明“此处删了XX字”
      并且记得附上博文末尾的【版权声明】及原文网址。
      这样的话,如果某读者想看被删节的内容,可以通过原文网址看到

      删除
    2. 月光博客转载你的文章,不附带版权声明,而且删除的文字也不做说明,大家一起鄙视下这个玩意

      删除
    3. 你可以具体指出是哪些文章吗?谢谢。

      删除
  13. 例行宣传:)
    【telegram编程随想读者群】
    https://telegram.me/programthinkreader
    大家加入可以随时随地聊天,最多可以5000人,注意匿名。

    回复删除
  14. 赤匪就是如此無孔不入的迫害赤化分子的,這叫統戰。凡是赤匪的全部別碰

    回复删除
  15. 编程随想您好,问您几个问题:
    1.为什么不使用GPG密钥对来拱卫与读者的通信安全?
    2.现在我们最危险的敌人是伪胱证的哪一个部分?(俺认为是团的少壮派:保守精英——权力颇大的那个都害怕地讲:团有“贵族化”的趋势)
    3.如何争取墙内“沉默的大多数”?
    4.我们是否应该团结和学习左翼?(你在讲邓小平与64时说过邓小平不仅怕右【还怕左】)?
    如何理解“左派是天生的自干五天敌”?-马前卒的回答

    随想似乎【没有】“太长不看”的阅读障碍:你看完了所有的推荐书目。
    给你个鬼点子:先停掉【其它】博文的研究,【系统地】将既有文章摘要【提炼】,和热心读者【联合编篡】教材,【速成】大量反洗脑人才。
    俺连教材的单元和课程名字都想好了:
    《墙内发言面面观》
    一.俺们的目标
    1.1屁股决定立场
    1.2“沉默的大多数”是目标
    1.3如何争取部分小粉红?
    1.4对付少壮派精英
    二.俺们的软肋
    2.1私有制度的软肋及应对
    2.2民主的软肋及应对
    2.3不止有美国
    三.如何针对性的驳斥
    3.1编程随想知道不代表他们知道:小把戏
    3.2如何抓住论战要点
    3.3随想的的论据库
    3.4如何引诱对方进入“伏击圈”
    四.保护自己
    4.1免疫兔小将的感染
    4.2来自体制的威胁——如何规避法律问题
    4.3(选学)利用IT技术自我保护

    回复删除
  16. 谢谢!来支持一下。

    回复删除
  17. 评论被吞了...
    编程随想您好,问您几个问题:
    1.您为什么不使用PGP密钥对来拱卫与读者的通信安全?
    2.现在我们最危险的敌人是伪胱证的哪一个部分(俺认为是团周围的少壮派:保守精英——中央都害怕:团有“贵族化”的趋势)?
    3.如何争取墙内“沉默的大多数”?
    4.我们是否应该联合反五毛的左翼(你在讲邓小平与64时说过邓小平不仅怕右还【怕左】)?
    如何理解“左派是天生的自干五天敌”?-马前卒的回答
    5.最近好像官方声音极强,怎么办?
    给你个建议:授人以渔不够,得【手把手】教——整理一套教材,时间上,【推迟】其它写作计划或者找【热心读者】帮忙编篡,俺连教材的框架都想好了:
    《墙内宣传面面观》
    一.俺们的目标
    1.1屁股决定立场
    1.2“沉默的大多数”是目标
    1.3如何争取部分小粉红
    1.4如何对付精英
    二.俺们的软肋
    2.1私有制度的软肋及应对
    2.2民主的软肋及应对
    2.3不止有美国
    三.如何针对性的驳斥
    3.1编程随想知道不代表他们知道:小把戏
    3.2如何抓住论战要点
    3.3俺的论据库
    3.4如何引诱对方进入“伏击圈”
    四.保护自己
    4.1兔小将最好对付
    4.2来自体制的威胁——如何规避法律问题
    4.3(选学)利用IT技术自我保护

    结语

    回复删除
  18. 又被吞...还是你看电子邮件吧...

    回复删除
  19. 我在一年前已经禁用StartCom的证书了。因为那时候某个网站用的是沃通的证书,我把沃通的证书导出再导入到证书黑名单中,但还是能正常访问那个网站。因为StartCom给网站签发了新证书,所以只好把StartCom也禁了,就终于不能访问那个用沃通证书的网站了。

    回复删除
  20. 我敢打赌中国的所有CA都在为朝廷做见不得人的事,只不过这一家太不够专业暴露了而已。

    回复删除
  21. 说实话,StartCom影响真的挺大的。之前的CNNIC,我禁用了,几乎没有网站受到影响,但是StartCom就不一样了。StartCom被收购的消息几个月前就传出来了,当时我就禁用了,然后发现很多比较优质的个人博客都不能https访问了,无奈之下又重新允许了。没办法,StartCom免费,而且没有Let's Encrypt那样三个月的周期,而且也少有人知道或者在意他的背景(大部分人还以为这个CA是国外背景的)。

    回复删除
  22. 访问HTTPS网站要向CA服务器发送请求???我怎么从来没听说过。

    回复删除
  23. 有空能写下“如何找到自己真正的兴趣”这个话题吗?
    相信很多人都特别期待。

    回复删除
  24. 已经拉黑,谢谢分享!

    回复删除
  25. 博主,墙内直连steam和firefox的自动升级安全吗,这两个经常无提示自己就升级了

    回复删除
  26. 我发现random这个扩展党某些功能使用后谷歌验证码反复出现多次,没完没了,有些网站也不能正常浏览

    回复删除
    回复
    1. 是不是因为网站发现我用了某些扩展

      删除
    2. 谷歌是不是不重视blogger,像验证码的启用应该由管理网站的人自己决定吧,要是根本没什么人气的博客还用验证码谁来评论,应该由很多人反馈过这类问题也不改变

      删除
  27. 对于新手而言,讯息不懂的有很多。能否列举更多不靠谱证书。就可以依葫芦画很多瓢,把那些流氓证书全给禁了。

    回复删除
  28. 我是大一新生,广东东软学院的,我们学校的上网是采用宽带上网,但是就是要装一个插件,宽带上网的ISP是中国电信,插件我猜是天翼客户端。那个我怕我的上网行为被金盾工程的监视,已经上网费要450元,对于穷人家的孩子。。我想问下你能讲一个在学校能够不需要费用就能宽带上网的方法吗,或者能教一个连接学校服务器的办法吗。,。。。跪求,大神————编程随想,能在百忙之中回复下我,好吗? 忘了向各位说下,哪位有钱人能给我买一个卫星宽带路由器,就是那个在淘宝上有的海事卫星终端BGAN 500,如何有哪位有钱人能买个我,我感激不尽。。。

    回复删除
  29. 重要的事情说三遍, 我是大一新生,广东东软学院的,我们学校的上网是采用宽带上网,但是就是要装一个插件,宽带上网的ISP是中国电信,插件我猜是天翼客户端。那个我怕我的上网行为被金盾工程的监视,已经上网费要450元,对于穷人家的孩子。。我想问下你能讲一个在学校能够不需要费用就能宽带上网的方法吗,或者能教一个连接学校服务器的办法吗。,。。。跪求,大神————编程随想,能在百忙之中回复下我,好吗? 忘了向各位说下,哪位有钱人能给我买一个卫星宽带路由器,就是那个在淘宝上有的海事卫星终端BGAN 500,如何有哪位有钱人能买个我,我感激不尽。。。

    回复删除
    回复
    1. 指望别人给你办理卫星宽带上网,还是不现实,那个 是给远洋轮船,科考船用来上网的,普通的渔船都上不了网的。费用很贵,一两千元包年还限制流量,限速。指望这个还不如指望谷歌的气球上网计划啥时候到中国来。

      学校的认证计费服务器还是很难黑掉的,有方法别人也不会到处传播,一旦公开漏洞立马会被封锁。你想免费上网,最好的方式就是跟同学搞关系,用他们的网就行了,没必要每个人都开通账号。

      删除
    2. 能上这里的全部是能翻墙的人,你只能使用全部翻墙工具网的工具来翻墙,要卫星宽带网络的还能是穷人,估计是套你有没有熟悉各地网络配置的可能性,判断你的具体位置,缩小排查的工具安装位置。千万别上当。是共匪的爪牙

      删除
    3. 首先,在这里不要暴露自己的地址,再者,“不需要费用就能宽带上网的方法”这种想法在目前来说有点像天上掉下个几百万让我花花,“教一个连接学校服务器的办法”这个的话,要么服务器在内网,插网线才能进或者让学校找一个机器弄VPN,要么服务器在外网,用手机的数据上网或者可以买国外的手机卡,不过买外国卡会不会出问题就不知道了。
      另外,如果你担心插件会监视,首先,你在墙国的任何位置用三大运营商的网络都会受到监控,要不就可以直接打开Google之类的了,费用已经交了,还是穷人,那么你就可以试一下随想的虚拟机上网法,把插件装在虚拟机里,然后用only-host之类的方式通过虚拟机上网,这样可以避免插件进行进程方面的劫持和嗅探。
      如果你还是觉得不放心的话,还有一种花钱的方法,就是买一个国内的VPS,搭建shadowsocks,用虚拟机插件拨号后,开shadowsocks全局翻墙或者弄两台虚拟机,一台专门拨号,一台专门开SS,但是你的所有网络流量都是通过你买的那台国内VPS,所以你的出口地址也只有你的VPS地址,国内的容不容易被GFW搞掉就不知道了,但是这样好像就翻不了墙了,不过似乎shadowsocksR支持二级(前置)代理,所以应该也是可行的。(我没有实验过,因为没有具体的环境)
      另外,一般大学院校在网络的出口处会设置防火墙,不,是一定会,因为国家规定这种公共上网区域的网络流量日志必须保存60天,即可以查到两个月以内非加密流量的所有信息;一般如果学校有人用校园网对外网网站进行攻击,如果外网网站报警查到是某学校IP,再调日志出来哪个内网IP什么时候访问这个网站,流量是多少,内容是什么等等(建立在HTTP情况)。所以,你暂时先担心一下学校的网络中心会不会偷偷看你是不是在看黄色小图片,一般的这种网站都是用http的哦。
      最后就是,“哪位有钱人能给我买一个卫星宽带路由器”和“如何有哪位有钱人能买个我,我感激不尽”,我个人认为,这种话犹如哪位有钱人给我1000W,我感激不尽,各位同学选我当班长,我感激不尽(这里是建立在新同学的情况下)。这种话在现实世界都不管用,更何况在这种既在墙外又虚拟的网络世界。就算给你买了,怎么把东西给你,快递?当面交货?哪个不危险,哪个不要联系方式,姓名,电话,地址?
      所以我觉得最好的方法就是搞好室友关系,让他们开WiFi给你用,这样记录的就是他的帐号。

      删除
  30. 重要的事情说三遍, 我是大一新生,广东东软学院的,我们学校的上网是采用宽带上网,但是就是要装一个插件,宽带上网的ISP是中国电信,插件我猜是天翼客户端。那个我怕我的上网行为被金盾工程的监视,已经上网费要450元,对于穷人家的孩子。。我想问下你能讲一个在学校能够不需要费用就能宽带上网的方法吗,或者能教一个连接学校服务器的办法吗。,。。。跪求,大神————编程随想,能在百忙之中回复下我,好吗? 忘了向各位说下,哪位有钱人能给我买一个卫星宽带路由器,就是那个在淘宝上有的海事卫星终端BGAN 500,如何有哪位有钱人能买个我,我感激不尽。。

    回复删除
    回复
    1. 如果你想免费上网并且不被学校监控,最好的办法就是跟宿舍其跟同学搞好关系,让他们在电脑或者笔记本上插上一二十元就能包邮买到的USB接口的随身wifi,然后共享他们的宽带来上网。还有一种办法就是在学校外面租房子,这样就可以用电脑上安装wifi万能钥匙来蹭邻居的网。

      不想被监控很简单,用TOR加双重代理,或者利用谷歌的goagent来代理,这样你的所有浏览数据都是全程加密,即便流量被镜像录制下来,他们也无法解密!

      删除
    2. 如果能够自动分配到ipv6地址就好办了,自建vpn通过ipv6连出去
      不过东软不知道在不在cernet呢?

      删除
    3. 买一个无线接收器50元左右 连接电脑可以实际接收500→1000米远的wifi 买挂卡路由也行接收 wifi 再发射 wifi 手机也可以用 可当普通路由器用 可配合幻影wifi fluxion等破解密码 也可用 免流 软件 qq群文件有(俺没试过搜下就有 )

      删除
  31. 之前就在新闻和推上看到过这事,就赶紧把wosign和starcom的证书全吊销了。当时像博主会不会谈一谈这事,后来RSS一提醒,果然。

    回复删除
    回复
    1. 以前在G+里就介绍了某网友制作的吊销天朝证书的脚本,此人也把脚本更新到把这两位狼狈为奸的家伙给毙了。对了还有startssl也已经钦定了,唉。

      删除
  32. 我暈,我還在用Startssl的證書而且還沒到期.....
    本來以為私鑰是自己簽發的所以沒問題,看來好像不是這樣。
    可惜了那是目前可以很便宜拿到程式簽名的CA...

    回复删除
  33. 好心累,什么都是被朝廷控制,要多做好多措施才能保护自己的隐私和安全,一声叹息

    回复删除
  34. 我把手机上的流氓证书也给禁用啦!!

    回复删除
    回复
    1. 禁用之后,手机依旧能上CNNIC官网,你也是这个情况吗?

      删除
    2. 確實禁用後還能上cnnic 官網

      删除
  35. 已经屏蔽掉Wosign和StartCom,不管怎样先干掉再说。
    不过屏蔽CNNIC的时候,用随想的老办法www.cnnic.cn测试,发现可以正常链接,查看这个网站的证书是DigiCert Global Root CA发布的。不知道这个DigiCert能不能信任。

    回复删除
  36. 安全从业者们,安全爱好者们,来评价一下知道创宇和启明星晨吧?

    回复删除
  37. 蛤丝们,如何评价golden frog vpn?是钦点的吗?

    回复删除
  38. 看了下火狐浏览器的证书机构, 还有 cnnic 呢 jdaaap

    回复删除
  39. 请问手机端禁了沃通后酷安APP刷不出内容了,只能启用证书来解决么?

    回复删除
    回复
    1. coolapk在HTTPS下没东西

      删除
  40. 每次看到关于证书的问题,都要检查一下,几个老流氓是不是又回到我可信任列表证书了。似乎每次微软更新都把证书给我加回来。

    回复删除
  41. 试验了火狐浏览器删除了流氓证书,再次打开火狐,证书还在

    iOS系统没办法删流氓证书啊,捉急。几年前不是说Comodo被攻击,他的证书不知道安全不,comodo有没有投靠兲朝

    回复删除
  42. 这个问题相当的可怕,因为电脑上运行的辅助性软件,其证书签发者就是 WoSign,并且该软件无法被替代。

    回复删除
  43. 老大,有时间写下未写完的内容么?好像继续看下去呢。
    3. SSL/TLS 协议的实现
    4. 针对 HTTPS 的各种攻击手法
    5. 各种相应的防范措施

    回复删除
    回复
    1. 敲碗等万年坑系列速更。。
      特别期待第三篇 3. SSL/TLS 协议的实现

      删除
    2. 我都一个回复被吞了?没关系..
      我也是来敲碗催更这个系列的//

      删除
  44. 博主求教下..一号店和苏宁用的是沃通的证书,怎么把他们的证书加入可信状态.这部不会操作了.

    回复删除
    回复
    1. https://passport.suning.com。这以类的。

      删除
  45. 1.笨方法:多浏览器配置
    “firefox -p “这是一个火狐浏览器的配置管理器,用来管理多个配置。对于涉及金钱的网站,一律开一个独立的配置、而且还有同时使用隐私模式不留痕迹。要登陆账户的开两个配置一个国内一个国外,还有一个用来平时浏览的。
    1.看网站使用的证书是否安全
    火狐浏览器的地址栏旁边,有个锁头,绿色代表安全(在没有中间人攻击的情况下)。点开锁头查看详细信息,对于本博客,你看到的是 Google Inc 这就是没有中间人攻击的情况,在登陆重要网站或者处理金钱之类的时候,都要习惯性检查一下,在删除了不安全证书之后还是要检查绿色图标。

    2.删除证书
    删除方法博主的帖子有了,但是博主的旧帖子有些东西过期了,比如code.google的部分,不过也没关系,谷歌一下也能搞定。
    //就是不知道该删除哪些?
    我知道的:
    带有CNNIC的,
    另外还发现一个China Internet Network Information Center(火狐里已经废除了的,但是系统里没有默认废除,不明所以,但是应该是不安全的了),
    StartCom(不要认错,是Start开头),
    Wo开头的(有标记沃通英文是WoSign),

    3.Linux的系统证书,以前以为删除掉浏览器就行了,原来还要删除掉系统里的,这个写个shell脚本吧?(估计网上有,找找)不然每次装系统都不记得,这么多怎么搞?什么时候linux系统里也能默认删掉?还发现debian里的证书,名字前面都有“mozilla/“这是什么回事?让我谷歌搜索一下,顺便帮助大家。

    回复删除
    回复
    1. 看到一个v2ex的帖子(v2ex是国内网站)
      要删除 Wosign 沃通的 SSL 证书吗?最近 SSL 伪造的事件不少

      神奇的地方在于:这是两年前发的帖子。

      里面两句话很不错
      1.我一直在强调这种可能性的现实合理性,你却一味地举极端情况的例子(任何XX都不能XXX,所以XXX),这对辩论毫无帮助。 //这个逻辑说不定身边的小粉红大粉红都是这样,我要留心观察观察
      2.楼主的观点其实表达的是,我不相信政府,就对了。//这就是为什么要删除不信任证书的原因,这是完美的总结。

      还有火狐的证书,删除之后,重启火狐,虽然证书项目还在,但是已经被block list(黑名单)了,最好还是逐个检查一下。“无法验证此证书…………”这样就是不信任了,如果遇到的确要打开不信任网站的情况,确认一下例外即可,如果是重要的网站,还是要检查一下地址栏旁边的安全信息,最好谷歌找一下这个不信任的网站是不是真的使用你看到的这个证书。

      如果是应用(或者软件)用的是不信任的证书,那么两个办法:1.寻找替换办法(比如不用这家银行换另一家)2.用虚拟机

      总结一下:面对作恶无数的政府,你不行动,它会先你一步。

      删除
  46. win7系统删除或禁用流氓证书,也将流氓加入不信任列表,用IE或chrome测试cnnic加密链接依然无提示。何解?

    回复删除
    回复
    1. 查看一下证书信息,CNNIC网站用的是国外的证书,好像是Dig开头的。

      删除
    2. 老流氓CNNIC已于2016 8月份更换为Digicert证书了,所以不提示,But,依然还是老流氓。

      删除
    3. 那digicert 也要干掉不?

      删除
    4. TO 3单元
      这个和Digicert没关。估计是CNNIC知道自己的证书被大多网友给拉黑了,所以只能跪着求Digicert给他签一个子证书www.cnnic.com,这个不会让CNNIC的“根证书”从黑名单里跑出来。他们之间的关系不是和Wosign那样“相互信任”。

      删除
  47. 楼主啊 看到那些赵家人贪污 特别是几大权贵家族这么贪钱 我就想审判(杀)他们 这算是心里变态吗

    回复删除
    回复
    1. 杀人不好,宽容,并把你的时间投入到改变现状中去。

      删除
    2. 共匪只會殺戮,只有殺戮是共匪能理解的唯一語言,別做新的農夫和蛇

      删除
  48. 楼主啊 看到那些赵家人贪污 特别是几大权贵家族这么贪钱 我就想审判(杀)他们 这算是心里变态吗

    回复删除
  49. 很久之前就听说了Firefox已经移除了CNNIC证书,可是在安装最新版Firefox时还是会看见CNNIC证书,不得不手动取消信任,这到底是怎么回事,有谁知道吗?

    回复删除
    回复
    1. 是看见,但是你点进去就看见说明:不信任之类的话。

      删除
  50. 网银呢,用一次装一次,用完卸载?还是限制证书的用途,若限制应该启用哪些用途?cfca要不要卸载?

    回复删除
    回复
    1. 虚拟机隔离,每样功能一只鸡。

      删除
  51. 博主g+留言不回复的,发邮件也不回啊。

    请教编程,iOS系统的gmail客户端为何经常闪退?就在登录到预览过程中间最容易闪退,用了VPN,会不会因为匪共封锁流量的缘故,还是匪共已能截获gmail客户端同服务器通讯,或者已搞定VPN?还有iOS应用商店经常有gmail等谷歌app更新提示仅简短几句更新的缘由,会不会设备到iOS应用商店的流量被劫持,返回恶意升级信息,看到的是伪造的应用商店?

    回复删除
  52. 看博主的文章,有理有据,入木三分。对博主本人无比佩服。真希望能和博主成为朋友。哈哈

    回复删除
    回复
    1. 为了博主的安全,还是别想了吧,到时候网管逼迫你交出资料时博主就非常危险了。

      删除
    2. 杀死一个共产党的军区司令就安排会面

      删除
  53. 實際上有個東西叫做RevokeChinaCerts

    https://github.com/chengr28/RevokeChinaCerts
    定期更新,還有自動吊銷的腳本

    回复删除
  54. 实力看不懂 友情帮顶

    回复删除
  55. 博主 用super等国产 vpn 登录Facebook google+ 能否监控到Facebook google+ 上所浏览的内容

    回复删除
  56. 看了苏维埃往事后,忽然有一个想法,我想找找毛腊肉时代的宣传画,看看跟苏联,德国的有什么相同点

    回复删除
  57. 試試,爲什麽還要機器人驗證?編程兄要把這個障礙去掉啊

    回复删除
    回复
    1. 那些是谷歌地图,有日本韩国台湾的地图里面把路牌提示出来让电脑识别,路牌上面的汉字如果让电脑自己识别效率是很低的。现在反共者的信息交流需求和谷歌的地图程序都得到了各自需要的东西

      删除
  58. 看中国网站有个叫朱仕强的经常发言,那个能介绍下他的底细

    回复删除
  59. 编程随想:王高华,你觉得沃通证书好不好呀?

    王高华:吼啊!

    编程随想:GFW也支持吗?

    王高华:当然啦!

    编程随想:那为什么这么早就说要发证,会不会给人感觉是网络流氓?

    王高华:任何事,也要按照网络法,按照网络主权来进行。刚才你问我,我可以回答一句「无可奉告」,但是你们也不高兴,我怎么办?我讲的意思不是我要发证书。你问我支持不支持,我说支持。我就明确的告诉你这一点。我感觉你们IT界还需要学习,你们毕竟还是 too young ,你明白这意思吧?我告诉你们我是身经百战了,见得多了,西方哪一个黄网我没有上过?你们要知道,北邮的方滨兴,比你们不知道要高到哪里去了,我跟他谈笑风生。所以说媒体还是要提高自己的知识水平,识得唔识得啊?我为你们感到拙计呀……你们有一个好,全世界跑到什么地方,你们比网络和平警察跑得还快,但是问来问去的问题呀,都 too simple , sometimes naive !懂了没有?

    编程随想:可是能不能说一下为什么支持沃通证书?

    王高华:我很抱歉,我今天是作为一个长者跟你们讲,我不是一个IT工作者,但是我见得太多了。我有这个必要告诉你们一些人生的经验……中国有一句话叫「闷声大发财」,我就什么话也不说,这是最好的。但是我想我见到你们这样热情,一句话不说也不好。在宣传上将来如果你们报道上有偏差,你们要负责任。我没有说要网络流氓,没有任何这个意思,但你们一定要问我对wosign支持不支持,他现在是中国证书,我们怎么能不支持中国证书?

    编程随想:但是如果说发证呢?

    王高华:发证也得按照中国的法律,对不对?当然我们的GFW也是很重要的。到那时候我们会表态的。明白这意思吗?你们不要想喜欢弄个大新闻,说现在已经发证书了,把我批判一番,你们啊,naive! I'm angry!你们这样子是不行的!我今天算是得罪了你们一下。

    回复删除
  60. 不明真相的吃鸡群众2016年9月10日 上午11:53:00

    啥时候把 whonix 好好介绍一下啊,现在好像都用Qubes了,不懂英文完全不知道怎么弄啊,qubes是装在vbox里的吗?

    回复删除
  61. 博主,我也在惦记HTTPS, SSL/TLS那一篇啊,看完了不过瘾

    回复删除
  62. 在mac上删除startcom的证书出现An Error occurred while deleting "StartCom Certificate Authority": UNIX[Operation not permitted]怎么办?

    回复删除
  63. 赛门铁克同天威有合作?那赛门铁克证书要不要干掉?

    回复删除
  64. --------------------------------------------
    --------------------------------------------

    回复删除
  65. 博主以前技术类东西会不会过时 要不要更新一下

    回复删除
  66. 想起当年命令与征服 将军2 (中国开发)被取消,不禁庆幸,幸亏当年天朝没有发明“小粉红”这种大规模毁灭性杀伤武器,不然EA的脸书会享受一番中特色的小粉红的“热(nao)情(can)招(pen)待(fen)”,编随应该写一篇文章分析一下小粉红的成因和反制手段。

    回复删除
  67. 大家对知乎上的这个回答怎么看?
    作者:匿名用户
    链接:http://www.zhihu.com/question/21740968/answer/117614713
    来源:知乎
    著作权归作者所有,转载请联系作者获得授权。

    我也算是看了他博客一年半的人了,要说不客观和他犯的逻辑错误,那可以扯出一大堆。双标是犯得最严重和最多的一个逻辑谬误了,编程随想的博客文和下面的受众 评论和五毛思维其实没有什么区别,编程随想的博文带有引导性,他对于中国的一些负面事情使用只说一个面的形式写博文和引导博 客受众的,结果就是博客和博客受众基本上产生了这么一个观念,现在中国现在的情况都是不民主导致的,解决这个的办法就是中国民主化和共产党下台,我不能说 他们绝对是错误的,但是把一切错误归因都归结到不民主和共产党一党执政就有”一叶障目“的情形在里面,他以前曾经说了匈牙利和波兰的共产党组织被颜色革命 下台,但是却没有提及在下台后匈牙利和波兰国内乱象丛生,国家动乱导致经济衰退,通货膨胀 增长至300%-400%,甚至连人权都保障不了,通观世界各国,通过颜色革命致使一党独裁专制国家转向民主国家后基本都出现了经济倒退,通货膨胀这种情 形。而且民主化能不能保障经济的长足发展也是一个问题,我记得台湾的经济发展时期正好是上个世纪70,80年代,那个时候还是国民党一党独裁时期,香港也 不是民主时期,港督是英国任命下来的,韩国的汉江奇迹也是在一党独裁时期,台湾和香港的民主化的时期都是在经济开始下滑放缓的时期开始实行的,可见政治制 度民主化至少有很大的可能会造成中国的一个动荡和经济倒退,我前面曾经说过,民主有好处当然有必要承认。但是,坏处却也不可忽视。而编程随想的博文正是这 种只谈好处不谈民主化的坏处的地方。从而引导性的让博客的受众产生这种认知,我曾经把我前面的那段话贴在那里,结果就是很多人认为我在说胡话,是给共党洗 地,说实话我只是说了我上面的那段话

    国家民主化我并不反对,但是今天的自由派是否经过仔细权衡,给这个遭受上百年苦难刚刚喘过气的人民带来一个实实际际的民主化方案呢?
    国家与人民的核心利益在什么位置?有没有关于处理潜在社会动荡风险的政治过度计划?如果民主化失败导致国家失败谁来负责?这些问题一天想不清楚,把作为政治工具的制度放在民族核心利益之上而不是将两者牢牢结合在一起,显然不是一个好的想法。

    结果只是这样的话那里的评论者里都有人认为我是在给共党洗地,这和五毛以意识形态和立场来看待问题有什么区别?博主甚至还费心谢了一篇针对五毛思维的文章 和一篇鼓励独立思考的文章,但是写了这篇文章的博主和受众都不约而同的陷入了五毛思维这个思维里面,这是一个很讽刺的事情。

    回复删除
    回复
    1. 知乎里的评论,大家怎么看?
      说起来容易做起来难,编程随想的博客下面的回复内容很明显就是已经被带节奏的,很少或者说根本没有看到所谓独立思考的,我举个栗子,比如观察者网这篇报道只许州官放火

      无论是从标题还是内容,观网的这篇报道明显属于带节奏的文章,连起码的介绍“网络安全法”是要规范那些方面,具体有什么条款都没有,也没有这四十六家外企反对其中的哪些条款,理由是什么也没有。通篇都是在扣帽子,东拉西扯什么中国网络多不安全,美国出台过了是州官放火,对中国出台表示反对就是险恶居心……全都是一些牵强之极的理由,而且从这篇报道的下面的评论来看,这引导显然是相当成功了。事实上编程随想做的和观网是一个路子。

      删除
  68. 不明真相的吃鸭群众2016年9月10日 下午7:03:00

    知乎上这个问题的回答大家可以好好看下。
    http://www.zhihu.com/question/21740968

    回复删除
    回复
    1. 不明真相的吃鸭群众2016年9月10日 下午7:10:00

      请大家认真进行反驳,并正视存在的错误,请不要骂我五毛,我只是个搬运工。

      删除
    2. 质疑动机,质疑身份。这两点不难发现吧

      删除
    3. 发言最长的那位,个人观点:
      1. 一上来就扣帽子,而不具体指出那一点去反驳(”要说不客观和他犯的逻辑错误,那可以扯出一大堆。双标是犯得最严重和最多的一个逻辑谬误了,“)

      2. 后来他提到的国家民主化转型的一些问题:
      a.先用匈牙利,波兰在苏东波后的通胀得出,”通观世界各国,通过颜色革命致使一党独裁专制国家转向民主国家后基本都出现了经济倒退,通货膨胀这种情 形。而且民主化能不能保障经济的长足发展也是一个问题,“的结论,有些以偏概全
      b.“而编程随想的博文正是这 种只谈好处不谈民主化的坏处的地方。从而引导性的让博客的受众产生这种认知”,明显选择性失明。博主没有回避民主的坏处吧,(至少说过:民主不是万能的话)
      c.“我记得台湾的经济发展时期正好是上个世纪70,80年代,那个时候还是国民党一党独裁时期,香港也 不是民主时期,港督是英国任命下来的,韩国的汉江奇迹也是在一党独裁时期,台湾和香港的民主化的时期都是在经济开始下滑放缓的时期开始实行的,可见政治制 度民主化至少有很大的可能会造成中国的一个动荡和经济倒退,”,最后一句有用民主化转型的镇痛期去诉诸恐惧的嫌疑,

      3. 对于第二段,我只想借用爱因斯坦的一句话“国家为人而立,而非人为国家而活”

      删除
    4. 知乎这个网站不清真,这个问题同样也不清真,因此没有必要认真进行反驳。

      删除
    5. 找几条问题下的回答与评论来批一批吧。
      1.中国的人大代表制度就是典型的代议制民主政治体制。【橡皮图章你不懂吗?】
      2.政治类内容大面积夹带私货【请举例】,就是一拿钱办事的家伙,拿的是美元还是日元啊?【质疑动机】
      3.是人都有偏见,多困于学识、经历所限,但他不一样,大面积成系统的抹黑【只是把黑的说出来,居然成了抹黑?】,说他夹带私货都已经是轻的了。
      4.我和你的观点是一致的。所以我说保持现状是最稳妥的,因为民众素质不够【“先有素质”论】。但是民众素质不够也是上头坚持洗脑而不是进行正确的ZZ教育造成的。哪怕现在的知乎上所谓的精英,ZZ素养也是堪忧的。这就成了无解的问题,洗脑导致ZZ素养缺失,ZZ素养确实导致保持现状最稳妥【所以我们才要普及政治素质啊】,所以60年过去了,大伙还是素质不够。除非上头皇恩浩荡放弃特权然后主动开启民智【圣君情节】。问题的根本是,有人在阻碍历史的进程【阻碍历史进程的是共裆】。
      5.从天然的爱国者到觉醒的草泥马,可能进化为逆向民族主义,分裂主义者,再变成为所谓的“小粉红”和“自干五”,似乎是涨脑仁的必修课。
      反正我本人就是就是这么过来的,而且就这么几天。大体上也是左右思量这个,思量那个,最终我发现我还是希望中国强盛起来,否则200年的国耻我绕不过去【一个可以任意拆你的房屋、编罪名抓你的裆能让你和国强盛?】,再一个是即使自认精神外国人,外国人势必不可能认我【对啊,这句话最好送给你的领导,因为他说不定就有绿卡了】。
      此外我还衍生出了一种反西方霸权的情绪,目的不是为了证明中国人牛逼或者是中国牛逼,反正我看到西方人对中国的那种高高在上的语气心里当然不舒服。然而,党的韬光养晦是成功的,中国在西方人眼里越穷越落后,其实对中国越有利,不然民意反转,中国成为了西方人的靶子,那就有点呵呵了。
      再说说这个墙外舆论,其实推特和G+也是傻逼脑残的聚集地,本质上追求民主是好的,奈何大多数人不读书,懒于思考,随便把民逗们编的段子当真,天天骂来骂去,智商连党的村官都不如了【村官都能贪个几万,你是在黑村官?】。更有甚者直接逆向歧视,比如港灿的台湾绿皮【又来歧视】。
      这帮人里头其实不缺拿工资的【出墙洗地的不拿工资?】,这也间接反应了国际政治的丑恶,那么更可以断定西方没按好心了【又是阴毛论,又是亡我之心不死之类】。
      我对编程随想的评价就是:他是一个唯西方论者。首先站在西方文化的角度上叙述中国的问题,本质上就错了,因为中国不是西方。还能衍生出一个提问,那就是西方文化真的能够在这个世界上站得住脚吗?怎么能证明西方推广的政治文化就不是一个谎言呢?
      [b]综上所述,知乎的风气已左化,同3单元的观点,反驳没有意义。[/b]

      删除
  69. 博主何不写一篇有关 let's encrypt证书 的安装教程?

    回复删除
  70. 编程随想在民主化之后也不要公开身份,万一gcd下台之后中国没有民主化,编程随想也要继续发挥民主先锋的作用。而且当今美国越来越非民主化,大规模监控和大规模的针对公民的间谍行为,编程随想如果真是一个真正的民主派的话,那么也应该多关注一下美国的非民主的情况,当然这个可以在中国民主化之后进行,以免给某些五毛以口实

    回复删除
    回复
    1. 博主以前貌似提到过,如果中国民主化了。他的博文就回老本行,专注于编程方面;

      删除
  71. 早几年看到 cnnic 证书有问题删证书的时候就发现还有那么几个中文证书特显眼看着有些不爽于是全给删了,现在看来自己这一做法很明智啊。

    回复删除
  72. 卡巴斯基可以信任吗?他那个扫描加密流量到底开不开好呢?现在我登录网站的证书都他颁发的。。。

    回复删除
    回复
    1. 普京落魄到要调查你,普京估计要破产了,不如直接支持中国反对派政变推翻中国共产党实际

      删除
  73. 博主的网盘里面好像没有柏杨作品的样子,推荐博主添加一下,记得在柏杨作品里看到过这样一句话:中国的问题不在于中国人,而在于中国领导人。这句话解释了中国人为什么遭受那么多的苦难。

    回复删除
  74. 博主有机会能详细介绍一些因为政治原因被真理部忽视的政治人物,科学家,文学家之类的,比如周扬,孙观汉,贝岭

    回复删除
    回复
    1. 这博主是什么东西,能做那么多?三头六臂么

      删除