搭建 HTTPS 伪站劫持域名进行 MITM，求推荐证书签发方式

• 資深大佬 : lcdtyph

  如果“ 在无法验证域名所有权的情况下，浏览器默认信任签发机构，不用另行导入”，那么整个公钥认证体系就没有任何意义了

• 主 資深大佬 : tyhunter

  @lcdtyph 刚仔细想了下，这点确实小白了，请教下现在 GMCert 浏览器还是会提示不信任，有没有其他免费签发机构可以推荐的，本地导入公钥的形式

• 資深大佬 : Tink

  不可能

• 資深大佬 : Keyes

  本地能导直接自签就行了

• 資深大佬 : hundan

  洗洗睡吧 梦里啥都有

• 資深大佬 : darknoll

  应该不行

• 資深大佬 : lookas2001

  ca 就是防 mitm 以及身份验证用的，如果存在一种方法可以绕过这种安全机制，那要 ca 干啥呢？
  要么导入根证书，要么用不安全的浏览器（比如 360 不安全浏览器）
• 資深大佬 : cydian

  不是 应该不行，
  而是 决定不行。

• 資深大佬 : cydian

  而是 绝对不行

• 資深大佬 : lcdtyph

  @tyhunter #2
  我没用过 gmcert，不过想来应该是你导入的不对，或者是下载的证书缺少中间证书链

  我之前用的 mkcert https://github.com/FiloSottile/mkcert
  本地生成证书，还可以自动安装根证书，很方便

• 主 資深大佬 : tyhunter

  @lcdtyph 感谢大佬，现在就是 GMcert 下载回来的证书，导入本地会被 Windows 提示无法验证，下载回来是有三个 pem 文件，除了第一个 cert.pem 改名为 cert.crt 可以导入外，其他两个都不行，我试试你说的

• 主 資深大佬 : tyhunter

  @Keyes 现在是导入会被 Windows 提示无法验证，比较头疼

• 資深大佬 : nieyujiang

  浏览器默认信任签发机构，那还要证书干什么

• 資深大佬 : chinvo

  两个事

  1 、MITM 是违法的，即使你在为某些奇怪的机构工作
  2 、Windows 不支持国密

• 資深大佬 : lcdtyph

  @tyhunter #11
  不是导入签发给你的证书，是导入国密的根证书
  根证书在生成证书那一页，“选择 CA”的右边有个下载