Log for #sitcon

<yoyo930021>: 我記得用 ssl for free 有資安風險沒錯吧？

<mingtsay>: (@yoyo930021: 我記得用 ...) 我記得是因為核發的驗證機制不同導致的？

<yoyo930021>: (@mingtsay: 我記得是因...) 我記得是私鑰過第三方了

<mingtsay>: (@yoyo930021: 我記得是私...) 原來有這回事

<yoyo930021>: 我不確定是不是記錯了

<mingtsay>: 我之前用免費的 StartSSL 密鑰都在客戶端產

<mingtsay>: 或是要丟 CSR 上去

<mingtsay>: 直到他們跟 WoSign 合作我就退了

<yoyo930021>: https://paste.ee/r/6r1RV

<hfhchan>: Never stored 傳輸中途也可以被 Store...

<hfhchan>: 還是自己 Gen 穩妥

樓上幾位你們講的好怪，沒講錯太多，但原因都是錯的，只有結果(行為)是對的

ssl for free 只要處理方式正確，並不會有資安風險，最多就是持續營運風險

以 letsencrypt 來說，client 一天到晚改版，如果商業網站掛這種免費的就絕對不能忘記去檢查有沒有簽滿簽好

再來...丟 CSR 去給憑證簽發機構進行簽署這是比較正確的做法，因為你送去簽的只有金鑰的指紋，並沒有私鑰本體，所以私鑰並沒有外洩的可能性

接著....絕對不要在憑證簽發機構的網站上產生 private key 是因為，你不知道他會不會不小心存了，或是故意存了，所以才不建議這樣做

<hfhchan>: (@mingtsay: 直到他們跟...) /斜眼笑

<davihuan>: 商業服務不要用免費的。

<mingtsay>: (@hfhchan: /斜眼笑) （望

通常這類機構不可能用 HTTP，所以並不會有傳輸中途被 store 的可能性...除非該憑證簽發機構惡搞，導致中間的傳輸流量被解密

<mingtsay>: (@davihuan: 商業服務不...) 真的

<hfhchan>: https://i.imgur.com/pBY9Pv9.jpg

最後 WoSign 會不被信任的原因是因為...不小心簽發了太多根本不該簽的憑證出來

這跟 VeriSign 最後結果是一樣的，系統有根本性問題，導致有機會簽出未經驗證的憑證，所以才被全面封殺

因為第三方憑證機構最重要的就是信賴基礎，如果做出任何有違此一前提的事情，就沒甚麼好說的，直接信用破產

<undefined>: /斜眼笑

<lin31504>: Business Class 票價居然比經濟艙便宜（查個年底飛德國的機票覺得問號）

<lin31504>: https://i.imgur.com/NMOOOD3.jpg

<tonyhhyip>: (reply @lin31504) 刷下去！！

<lin31504>: (@tonyhhyip: 刷下去！！) 等 35C3 票買到（？

<DennyHuang>: (@lin31504: 等 35C...) 等了就買不到了

<DennyHuang>: 不過通常這還沒加稅啦 不要開心得太早

<toppy368>: 跑到選好之後才會在右側出現含稅價 不曉得外國是否也會右側含稅列表價格？

<lin31504>: (@DennyHuang: 不過通常這...) 點進去發現，的確不要開心的太早.....

<lin31504>: (@DennyHuang: 不過通常這...) https://i.imgur.com/0lDHU7m.jpg

<toppy368>: (reply @lin31504) 看起來很廉航？(塞爆)

<lin31504>: (@DennyHuang: 等了就買不...) 那麼誇張OuO 35C3的票約略何時開賣？

<lin31504>: (@lin31504: 那麼誇張O...) 感覺機票還是要先買 聖誕＋跨年覺得可怕