证书错误在已经普遍的 HTTPS 协议通常不是会拒绝连接么

iphone 里的 vpn 设置有“按需连接”，启用后能接管所有流量加密传输所有数据，避免 wifi 监听。

android/iphone 开启 wireguard 也有这个功能，所有流量都必须走 wireguard 通道，wifi 是无法监听通讯的。

@miaomiao888 通过合法 CA 进行任意域名的签署，这种 MITM 不会被系统拒绝

captive portal 认证要重定向的常规流程，HSTS preload 的域，浏览器会拒绝跳转，所以 captive portal 很多只能从 http 跳过去认证页面
本机不信任公用网络的 CA 基本没什么问题，如果公用网络的 gateway 开了 deep inspection ，你打开任何 https 都会显示证书错误

正文占用一半篇幅的证书链没有一丝意义，通篇可以省流为

OP 发现某些免费 WiFi 存在中间人攻击

如果你担心酒店 wifi/公司 wifi 有监听，可以部署一个私有 vpn server ，然后测试：
(1) 手机开启 vpn 后：切换手机 5G 和 wifi 后 vpn 不会断开；
(2) 手机开启 vpn 后，关闭 vpn server：vpn 不会断开并维持无法上网状态；再切换手机 5G 和 wifi ，vpn 仍然不断开并维持无法上网状态；开启 vpn server 后网络恢复正常。

以上测试完成后，你的 vpn 就是一个有效的抵御 wifi 监听的方式。在连入公共 wifi 前开启 vpn 即可。

接近十年快没有连接过免费 wifi 了。

@liuidetmks 合法 CA 任意域名签发这是能吊销 CA 的，看看证书

@liuidetmks #3 没有 1 个合法 CA 会做任意域名的签署用于监听，这是被明令禁止的。浏览器有一个证书透明度检查，能实时发现这种违规行为，如果被发现这种违规，商业 CA 会在几周内被吊销掉，结束他的商业生命。这是操作都是私有 CA 证书导入设备后才能实现的。

你看看隔壁 TrustAsia /t/1187331
未授权签发证书能把他们急成啥样

这是拦截 web auth 用的证书吧

从来不用公共 wifi ，星巴克的除外

“合法 CA 进行任意域名的签署”，这不成立吧，不然 TLS 就是摆设，所有网站都不安全了。

这证书会被浏览器/客户端拦吧？

我平时都关 WiFi 用流量，只有需要配置什么的时候才连 WiFi 。

这证书链其实没啥毛病啊
前两个权威，第三个被第二个签发，那就没问题啊，第三个如果有 CA 功能，再去签发第四个也是可以的啊

理论上，第四个如果是由 digcert （我猜你想说 digicert ）签发，那就不可能由 free-m.wifi 签发
要不你导出第四个证书给大家看看？

这个跟免费 WIFI 有啥关系。
应该纠结第三个证书怎么签发出来的，为什么 Basic Constraints 和 Key Usage 具有 CA 的属性。

建议把第三个证书的 PEM 贴出来看下

你在手机上安装软件了

国内免费 Wi-Fi 都有实名制与管控要求，其安全设备的实现方式就是基于证书的中间人攻击。

op 可能不太了解密码学和计算机网络相关的知识，合法就不会报证书错误了，这种都随便生成的。你可以让 llm 给你写个生成这种证书的脚本/代码。

不用想也知道，你只要上网，那么你的数据就有泄露的风险，能让你看出来证书有问题的，可能都是小手段。。。真正有实力的中间人攻击，你证书看不出来。。。。。。。

哪个合法 CA 敢任意签发证书？等着被吊销吧！

不懂就问，难道连接不同的网络，同样网站的证书链会有区别吗？

公司都不用 wifi ，外面连 wifi 开 tailscale 回家绕一圈

@EchoWhale 可以配置同网站多证书的，比如 RSA+ECC ，那不同设备连接就会被分配不同证书链

@EchoWhale 他这种不同网络不同证书就是中间人攻击，或者你自己装了第三方软件导致的中间人，比如有些广告拦截就是靠中间人解密后拦截广告

@longsays 中间人攻击的话，那我看到的应该是中间人的证书吧？

@EchoWhale 对，这也是证书的作用，没有对方私钥你还原不回去了，不主动装第三方证书一般都会有提示

@longsays 所以连免费 wifi 没啥问题呀，有 https 就不可能有中间人攻击

我全部把银行 app 的 wifi 联网方式关了。

@EchoWhale 对啊，甚至机场都无所谓，现在基本都 https 了，事态不严重没人会花大力气去查

除了提前在设备上植入自签的证书可以外，TLS 可以正常保证安全吧

那边房子空着，偶尔去住两天，30 买了个路由器中继楼下饭店烧烤店什么的，用着也没问题，就是吃饭高峰期比较卡

对于我这种 365x24 开 doh 的，应该风险不大吧

> 发现一个证书错误

> 通过合法 CA 进行任意域名的签署

左右脑互搏是吧

国内吗？国内所有的公共 wifi 都要有审计的，所以我从来不用。
包括星巴克一样，只要提供公共 wifi ，就需要购买公安认可带审计功能的

太扯淡了吧

流量充足 基本不连公共 Wi-Fi

@yinmin #2 按需连接是这个意思吗？我一直以为是按需自动打开 vpn

@sikong31 #42 vpn server （ IKEv2 ）会告诉 ios 哪些网段走 vpn ，如果开启“按需连接”，访问 vpn 网段会自动连接 vpn 。当 vpn server 接管所有流量（ 0.0.0.0/0 ）时，开启“按需连接”可防止 wifi 窃听数据。

接#43 ，使用 ios 内置的 vpn 协议时，切换手机 4G5G 网络/wifi ，vpn 会断开。必须先连 wifi 再开启 vpn ，中间有一个时间差。公共 wifi 信号波动，手机可能会短暂切到 4G/5G 再切回 wifi ，vpn 就断了。

开启“按需连接”就是为了避免 vpn 异常断开被 wifi 窃听。

谁能告诉我一下，这个 “一什么一个不吱声” 到底什么鬼意思，是暗自开心到不吱声，还是吃暗亏到不敢吭声？

@laoyur 从上下文判断，可以能要表达“这个东西不好但用的人吃了亏不敢说出来”的意思。非常反感这种说法，看着就让人恶心。如果能点踩的话，看到这种句式的回答我都会点个踩的。对于这样说话的人，我一律将其认定为轻度智力障碍。

@SmartNeo 可以能---->可能

你系统没有安装三方 ca ，正常应用访问 https 直接会报错，比如我司的深信服。确实在意安全，公共 WIFI 开个 vpn 就没事了。

@liuidetmks 不用打码。你把整个证书链导出来，举报给 Mozilla 和 Google 能让这家 CA 直接倒闭。

- CNNIC 违规签发 Google 的证书，声称是内部测试使用
- WoSign 违规签发 GitHub 的证书，原因是验证系统疏忽，验证子域名可以签发根域名的证书

这两家 CA 都是一经查实，立刻被剔除浏览器信任列表。有什么原因你可以慢慢找借口，反正证书先踢掉。你拿得出这个证书，那就是铁证。


@julyclyde #16 这个证书链显然有毛病。因为正规 CA 不可能为第三方签发带 CA 功能的证书。如果哪家 CA 看到 CSR 带 CA 功能还签字，那也是大 bug 。

如果能签得出来，那 cloudflare zero trust 也就不需要在使用 TLS 解密功能时安装 CA 了。cloudflare 这么大的公司都解决不了的问题，你觉得这些免费 wifi 系统的提供商能做到吗？

勿以善小而不为，整治网络环境人人有责
连接公共 WiFi 后访问 HTTPS 网站，
打开证书详情并导出完整证书链，记录颁发机构、指纹与有效期；
用 openssl 获取握手信息并保存；查询证书是否存在于 CT 日志；
整理证书文件与复现步骤，提交至 Mozilla 或 Google 的 CA 违规报告渠道。

你不如直接把证书贴出来，我们一起去举报，让不规范的 CA 倒闭

我觉得不太可信，如果是可信的证书链为啥有证书错误，除非把证书贴出来。 @liuidetmks 都在等你的贴证书呢，不要装看不到啊

这个帖子只能暴露了卤煮懂了点却懂不多

@liuidetmks `通过合法 CA 进行任意域名的签署，这种 MITM 不会被系统拒绝`

op 这么牛？我了个豆！！！

竟然有 CA 有漏洞可以被利用，而且还是对任意域名签署！！！！而且还是显存

op 不知道啥时候 公布详情，

这怕是要导致 IT 股全线跌暴了，

为什么不举报这些违规证书

@liuidetmks 胡扯呢吧？这么搞所有的合法 CA 都成中间人了那 HTTPS 跟明文有什么区别了？不要胡扯啊

太扯淡了 估计楼主对 tls 一知半解