吃瓜看戏：热闹的 Mozilla 邮件列表

Mozilla 邮件列表最近一周非常热闹，主要围绕着国内 CA 厂商 WoSign 爆出的一系列安全问题，以及对 WoSign 应对措施的争议。

上图是 freebuf 简单报道的截图。我补充下，大致是 WoSign 涉嫌错误的签发了 Github、阿里、微软旗下网站的根域名证书，并且在知晓此事后，没有主动废止这些证书，这是 WoSign CEO 回复的原文：

Some certificates are revoked after getting report from subscriber, but some still valid, if any subscriber think it must be revoked and replaced new one, please contact us in the system, thanks.

有黑客会主动要求废止自己拿到的非法证书吗？

这个事件在 Mozilla 邮件列表迅速发酵，已经有 83 个帖子，有情绪激动的开发者要求不再信任 WoSign 签发的 CA 证书，并开始讨论技术方案。

感兴趣的同学请移步邮件列表（需要访问外国网站），里面是全英文的讨论，大家周末可以在家补补安全知识，练习练习英文，或者上去参与讨论：

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/k9PBmyLCi8I

这个讨论还在火热进行中，并且双方情绪越来越激动。

这个事件给我的思考是：

• 第一时间解决安全隐患，并提出日后切实的整改方法，而不是一味要求别人原谅。
• 就事论事，别以为别人都是用『中国公司』的有色眼镜看你，要有点儿自信。
• 事不过三，对于『信任』这个经不起打击的东西，更是如此。
• 只有透明才能赢得信任。很多事情你可以不公开，同理，别人也可以选择不信任你。