首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
forgottencoast
V2EX  ›  信息安全

如果中间人使用真实 CA 签发的证书,他能成功吗?

  •  1
     
  •   forgottencoast · 72 天前 · 1738 次点击
    这是一个创建于 72 天前的主题,其中的信息可能已经有所发展或是发生改变。
    对这次 GitHub 事件有个疑问。
    如果可以,那么有什么办法避免被这样攻击?
    18 条回复    2020-03-28 02:59:59 +08:00
    ccc008
        2
    ccc008   72 天前
    某某尝试过这样做。CA 已经被吊销了
    mikeguan
        3
    mikeguan   72 天前 via Android
    先劫持 DNS,然后搞个信任的 CA 签发证书,这样就可以为所欲为了
    tulongtou
        4
    tulongtou   72 天前
    能成功,但是这样就好比开锁匠当起了小偷,CA 就是开锁匠
    id7368
        5
    id7368   72 天前 via iPhone
    为了应对这种攻击谷歌之前提出 HPKP 公钥固定,也就是只信任某个特定 CA 证书,其他证书即便有效也不信任,后来这个被发现于是又被取消了。
    1234rty
        6
    1234rty   72 天前 via Android
    这种事已经发生过了
    morethansean
        7
    morethansean   72 天前
    说白了这是 CA 的责任和义务,不确认瞎颁当然就丢掉了了 CA 背书基本的信任感,被大家移出信任列表……
    mcone
        8
    mcone   72 天前
    已经发生过了,请学习历史
    lovedebug
        9
    lovedebug   72 天前
    曾经做过数字证书和 CA,这是可以的。谷歌很鸡贼的搞了 CTLog 专门对付乱签 google 域名的 CA
    lovedebug
        10
    lovedebug   72 天前   ❤️ 1
    对付这种情况就是每年都会有 CA 评级,把垃圾 CA 加入到操作系统的 untrusted root 列表或者从 Firefox 中移除
    leafleave
        11
    leafleave   72 天前 via Android   ❤️ 1
    幸亏吊销了 cnnic
    gamexg
        12
    gamexg   72 天前
    Certificate Transparency 建立的目的也是为了找到乱颁发证书的 CA 。

    国外的 DigiNotar 、Symantec CA 因为滥发证书被干掉了。
    gamexg
        13
    gamexg   72 天前
    对了 cloudflare 提供了一个服务,可以订阅证书签发通知。当域名被签发了证书时能够收到邮件通知。

    https://blog.cloudflare.com/zh/introducing-certificate-transparency-monitoring-zh/
    aabbcc112233
        14
    aabbcc112233   72 天前 via Android
    提问,检验一下域名和证书中的域名不就完美解决了吗?
    shiji
        15
    shiji   72 天前 via iPhone   ❤️ 1
    @aabbcc112233 印钞厂背着央行偷偷印了钱。
    不是假钞,能过验钞机。但是印钞厂会被判刑的。
    aabbcc112233
        16
    aabbcc112233   72 天前 via Android
    @shiji 才明白过来题目是指正确的 ca 证书
    testcaoy7
        17
    testcaoy7   71 天前
    @id7368 HPKP 是因为部署太复杂,而且一不小心配置错就会导致网站无法访问,结果没什么人用才被取消的吧
    id7368
        18
    id7368   71 天前 via iPhone
    @testcaoy7 不是,是因为缺陷,部署其实很简单的,具体原因可以看取消该标准的新闻: https://www.landiannews.com/archives/41904.html
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1579 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:56 · PVG 09:56 · LAX 18:56 · JFK 21:56
    ♥ Do have faith in what you're doing.