V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
holinhot
V2EX  ›  SSL

今天涨见识了原来银行还有自签名 SSL 证书的

  •  
  •   holinhot · 2015-09-10 21:18:18 +08:00 · 7579 次点击
    这是一个创建于 3368 天前的主题,其中的信息可能已经有所发展或是发生改变。
    26 条回复    2015-10-23 00:18:35 +08:00
    holinhot
        1
    holinhot  
    OP
       2015-09-10 21:19:40 +08:00
    explon
        2
    explon  
       2015-09-10 21:24:52 +08:00
    垃圾银行
    lshero
        3
    lshero  
       2015-09-10 21:35:15 +08:00
    https://ebank.bankgz.com:7443/perbank_basic/logon_basic.jsp
    这边显示的是 CFCA 有问题嘛?
    alect
        4
    alect  
       2015-09-10 21:43:41 +08:00
    我这边看不是自签名,在微软下发的可信根证书列表里面,也许楼主需要更新下根证书了
    rainy3636
        5
    rainy3636  
       2015-09-10 21:46:34 +08:00
    你用了 RevokeChinaCerts 吧
    quericy
        6
    quericy  
       2015-09-10 21:47:02 +08:00
    不是自签名+1,难道 LZ 被中间人了?
    holinhot
        7
    holinhot  
    OP
       2015-09-10 23:17:59 +08:00
    @alect osx 最新版本 safari 和 chrome 都不信认。而且看到的根是 CFCA
    @lshero
    SourceMan
        8
    SourceMan  
       2015-09-10 23:20:06 +08:00 via Android
    有人把所有自己不认可的东西用垃圾来诋毁
    holinhot
        9
    holinhot  
    OP
       2015-09-10 23:20:09 +08:00
    holinhot
        11
    holinhot  
    OP
       2015-09-10 23:24:26 +08:00
    我记得我只删除了 CNNIC 的 SSL 啊 怎么 China Financial 这是哪里的
    holinhot
        12
    holinhot  
    OP
       2015-09-10 23:24:54 +08:00
    @explon
    @lshero
    @rainy3636
    @quericy
    @SourceMan
    我记得我只删除了 CNNIC 的 SSL 啊 怎么 China Financial 这是哪里的
    lolicon
        13
    lolicon  
       2015-09-10 23:28:15 +08:00
    China Financial Certification Authority
    中国金融认证中心
    http://www.cfca.com.cn/
    反正也得装控件…没准控件会把 CFCA 加入系统信任
    holinhot
        14
    holinhot  
    OP
       2015-09-10 23:38:32 +08:00
    @lolicon 应该不是我电脑的问题。因为在 iphone 上也不信认
    holinhot
        15
    holinhot  
    OP
       2015-09-10 23:42:49 +08:00
    https://ebank.bocd.com.cn/pweb/prelogin.do?_locale=zh_CN&BankId=9999 这个也打不开
    无法安全地连接

    Firefox 无法保证您在 ebank.bocd.com.cn 上的数据安全性,因为它使用 SSLv3 ,一个目前安全性欠佳的安全协议。
    专业信息: ssl_error_unsupported_version 看来小银行安全性真不高 都不修补的
    alect
        16
    alect  
       2015-09-10 23:44:16 +08:00
    holinhot
        17
    holinhot  
    OP
       2015-09-10 23:46:12 +08:00
    @alect 反正我的 Mozilla Firefox 打开是提示不安全的而且显示的 Root 也不是 China Financial Certification Authority
    xrui
        18
    xrui  
       2015-09-10 23:46:27 +08:00 via Android   ❤️ 1
    安卓 5.0.2 , chrome45 完全拒绝连接这个网站
    shiniv
        19
    shiniv  
       2015-09-10 23:49:42 +08:00
    osx chrome 45 显示为 CFCA GT CA
    holinhot
        20
    holinhot  
    OP
       2015-09-10 23:50:04 +08:00
    其实国内很多银行都是一样
    https://ebank.cgnb.cn/pweb 使用 SSLv3 的
    holinhot
        21
    holinhot  
    OP
       2015-09-10 23:53:57 +08:00
    看来有很多地方银行都用的 CFCA GT CA
    https://perbank.xmbankonline.com
    holinhot
        22
    holinhot  
    OP
       2015-09-10 23:55:30 +08:00
    应该是政策性绑定 不装这个证书 就网上银行系统评估不合格
    alect
        23
    alect  
       2015-09-11 00:02:24 +08:00
    @xrui @holinhot chrome45 提示需要更新配置,是他们官网配置失误,看了下都是好多年前的推荐配置,
    可能用网银的强制必须 IE 系列,反而用 ie 打开应该没问题,总之他们的安全设置太低太过时了。
    我用 ie11 打开 https://cez.cfca.com.cn/竟然有绿条,用 chrome45 打开 服务器的瞬时 Diffie-Hellman 公共密钥过弱, ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY
    weyou
        24
    weyou  
       2015-09-11 00:04:13 +08:00
    @holinhot 刚才看了下招行的证书是 VeriSign, Inc.签发的
    holinhot
        25
    holinhot  
    OP
       2015-09-11 00:06:10 +08:00
    @weyou 政策欺负下小银行还行 欺负大银行应该也不好欺负
    Quaintjade
        26
    Quaintjade  
       2015-10-23 00:18:35 +08:00
    @alect
    比较奇葩的是,装了几个网银控件之后会发现居然有了两个 CFCA GT CA (指纹不同)。
    CFCA 发的根证书实在太 TM 多了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   951 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:40 · PVG 06:40 · LAX 14:40 · JFK 17:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.