这不是 Imgur 证书之一。

证书透明度日志

证书颁发机构必须将他们生成的所有证书报告给公开数据库的透明度日志。这允许用户代理（如 Chrome）检查此证书是否可以由网站所有者审核。

根据以下证书透明度搜索工具，该证书没有被记录，而且这么短的生命周期对于 Imgur 来说是不常见的：

• crt.sh
• 谷歌
• Facebook

DNS 过滤器

根据错误消息，此证书不是由有效的证书颁发机构颁发的，因此您不能信任颁发者。

发行者声称是“DNSFilter”。

DNSFilter 是一个用于过滤请求的代理，它也尝试代理HTTPS 请求，因此它为每个域生成一个自签名证书。

由于您无法信任颁发者，因此您无法确定证书来自真正的 DNSFilter 产品。任何人都可能冒充它。

可以肯定的是，这不是 Imgur 的合法证书。

证书寿命如此短的确切原因尚不清楚。

这显然是 MITM 攻击。有人试图拦截连接。

无论是恶意的第三方攻击者还是试图过滤内容/插入广告（相对无害）的咖啡馆，都无法确定。虽然证书声称是由DNS 过滤器颁发的，但无法说是否真的如此。任何人都可以创建一个自称是“DNS 过滤器”的证书，并且该证书没有被任何人签名，所以你不能相信它所说的。它可能确实是由 DNS 过滤器创建的，但也可能是恶意攻击者试图通过使用可识别的名称来获得信任。你不应该假设它真的是由 DNS 过滤器创建的。

无论哪种方式，这肯定不是真正的 imgur 证书。

这个证书有效吗

不，它是由DNSFilter或伪装成 DNSFilter 执行 MITM 攻击的攻击者动态生成的。

为什么要出示此证书

DNSFilter 允许监控网络使用情况并阻止站点，但是当它阻止站点时，它希望显示错误消息，因此如果流量被加密，它需要能够对其进行解密，它只能通过以下任一方式进行：

• 持有原始证书
• 制作新证书

为什么会有警告

由于您的机器不信任新证书，您会收到警告。在这两种情况下都是如此，攻击者 CA 将不受信任，但 DNSFilter CA 也是如此。

为什么证书只有一天有效

这可能有很多原因，但一个主要的原因是试图降低每个单独的证书在泄露时带来的风险。这个想法是，只要根证书保持安全，那么即使站点证书泄漏，它也只会被信任 CA 的设备信任。

由于证书是即时生成的，因此需要定期重新颁发证书没有问题。

SSL拦截是个好主意吗？

SSL 拦截通常是一个非常糟糕的主意，原因有很多：

• 敏感数据可能会被拦截设备记录下来
• 所有设备的密钥可能相同，因此任何人都可以使用主密钥的副本进行拦截
• 密钥可能从设备中获取，导致任何人都能够拦截
• EV证书降级为标准证书
• 使用固定的应用程序将无法使用更改后的证书

在某些情况下，在绝对必要时可以接受，但这些情况不适用于公共 WiFi，因为您并不真正信任热点运营商。