电信替换自签名证书？目的是什么呢？

2017 年 4 月 24 日

trepwq

刚看新闻，有人在微博上爆出电信替换了自签名。
http://static.cnbetacdn.com/article/2017/0424/c6b07e084995381.jpg
“一位提供游戏网络加速服务的用户在微博上报告，中国电信悄悄替换了其自签名证书，“为何有的地区访问我的 HTTPS 网站，获得的证书并不是我签发的。你们很聪明，只替换掉自签发的证书，因为自签发证书浏览器本来就有警告加上大部分信息都一样，神不知鬼不觉，用户很难发现自己的 HTTPS 访问被监听了，要不是我的软件对证书指纹有验证根本不会发现这问题。”原证书是 RSA-2048 ，伪造的证书是 RSA-1024 。中国电信客服表示可以“协调处理”。 ”

4291 次点击

所在节点

问与答

17 条回复

gen900

2017 年 4 月 24 日

中间人攻击。这是专有名词不意味着一定有狭义的攻击发生，但是网络安全已经无从谈起了。

监听，篡改，窃取……可以做的事多了去了

tyfulcrum

2017 年 4 月 24 日

用自签名的网站不多吧，除了 12306 这种的还有比较大众的网站用么？

zhihaofans

2017 年 4 月 24 日

@tyfulcrum 我上次才在 V2EX 看到一个

lyhiving

2017 年 4 月 24 日

业务需要，等不了了，赶紧上车

akwIX

2017 年 4 月 24 日

就算自签自用，也得自己先签个 CA 再来签发别的证书

jasontse

2017 年 4 月 24 日

搞个大新闻。先观望

ltux

2017 年 4 月 24 日

劫持，插广告。

taineric

2017 年 4 月 24 日

既然都一样，这加密有什么意义

mdzz

2017 年 4 月 24 日

然而 RSA-1024 才是真证书
ref: http://weibo.com/1219205751/F00TyA2ev

jarell

2017 年 4 月 24 日

@akwIX 能不能签个限于某个域名的"低级别的 CA"呢

wdlth

2017 年 4 月 24 日

毕竟提供“网络加速”，电信也想看看“加速”的内容……

roist

2017 年 4 月 24 日

最近某被通缉的郭姓巨富在海外闹的风生水起，把我党弄得有鸡飞狗跳的架势，相关即得利益者欲杀之而不得，加强措施可以理解

tzxun

2017 年 4 月 24 日

虽说电信吃相难看，但是在生产环境使用自签名完全就是自废武功。在 SSL 证书日益便宜的现在，这种行为本身就是对用户极不负责的行为。

ryh

2017 年 4 月 25 日

里面还有笨蛋在刷“哈哈哈假的比真的安全” 也是神逻辑第三方随便中间人的 2048bits 证书怎么会比 1024 的服务器自签的安全

davidyin

2017 年 4 月 25 日

有个 CCA 记录好像就是可以防止这种的。

davidyin

2017 年 4 月 25 日

@davidyin 记错了，是 CAA

Williamp

2017 年 4 月 26 日

Off course, this decision is made by telecom for user's information security and trust to their website because browser gives the warning for self-signed certificate https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/357055

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.