今天看网络日志,发现一个证书错误
一些信息可能比较敏感,引起跑题争论或者误会,做了掩码
xxxxxxxxxxxxxx (58xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
xxxxxxxxxxxxxx (d0xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
free-m.wifi.xxxxxxxxxxxxxx(afaef9xxxxx) (这个证书在 crt.sh 上搜不到)
|
mysite.com (实际证书是 digcert 注册的)
免费 WIFI 确实好
 |
1
miaomiao888 20 天前  1
证书错误在已经普遍的 HTTPS 协议通常不是会拒绝连接么
|
 |
2
yinmin 20 天前 via iPhone
iphone 里的 vpn 设置有“按需连接”,启用后能接管所有流量加密传输所有数据,避免 wifi 监听。
android/iphone 开启 wireguard 也有这个功能,所有流量都必须走 wireguard 通道,wifi 是无法监听通讯的。 |
 |
3
liuidetmks OP @miaomiao888 通过合法 CA 进行任意域名的签署,这种 MITM 不会被系统拒绝
|
 |
4
pingdog 20 天前 via Android
captive portal 认证要重定向的常规流程,HSTS preload 的域,浏览器会拒绝跳转,所以 captive portal 很多只能从 http 跳过去认证页面
本机不信任公用网络的 CA 基本没什么问题,如果公用网络的 gateway 开了 deep inspection ,你打开任何 https 都会显示证书错误 |
 |
5
imlonghao 20 天前 via iPhone 8
正文占用一半篇幅的证书链没有一丝意义,通篇可以省流为
OP 发现某些免费 WiFi 存在中间人攻击 |
|
6
yinmin 20 天前
如果你担心酒店 wifi/公司 wifi 有监听,可以部署一个私有 vpn server ,然后测试:
(1) 手机开启 vpn 后:切换手机 5G 和 wifi 后 vpn 不会断开; (2) 手机开启 vpn 后,关闭 vpn server:vpn 不会断开并维持无法上网状态;再切换手机 5G 和 wifi ,vpn 仍然不断开并维持无法上网状态;开启 vpn server 后网络恢复正常。 以上测试完成后,你的 vpn 就是一个有效的抵御 wifi 监听的方式。在连入公共 wifi 前开启 vpn 即可。 |
 |
7
HENQIGUAI 20 天前
接近十年快没有连接过免费 wifi 了。
|
|
8
imlonghao 20 天前 via iPhone
@liuidetmks 合法 CA 任意域名签发这是能吊销 CA 的,看看证书
|
|
9
yinmin 20 天前 1
@liuidetmks #3 没有 1 个合法 CA 会做任意域名的签署用于监听,这是被明令禁止的。浏览器有一个证书透明度检查,能实时发现这种违规行为,如果被发现这种违规,商业 CA 会在几周内被吊销掉,结束他的商业生命。这是操作都是私有 CA 证书导入设备后才能实现的。
|
 |
10
shiny PRO 2
你看看隔壁 TrustAsia /t/1187331
未授权签发证书能把他们急成啥样 |
 |
11
Saniter 20 天前 via Android
这是拦截 web auth 用的证书吧
|
 |
12
MindMindMax 20 天前
从来不用公共 wifi ,星巴克的除外
|
 |
13
iX8NEGGn 20 天前
“合法 CA 进行任意域名的签署”,这不成立吧,不然 TLS 就是摆设,所有网站都不安全了。
|
 |
14
liyafe1997 20 天前
这证书会被浏览器/客户端拦吧?
|
 |
15
si 20 天前
我平时都关 WiFi 用流量,只有需要配置什么的时候才连 WiFi 。
|
 |
16
julyclyde 20 天前
这证书链其实没啥毛病啊
前两个权威,第三个被第二个签发,那就没问题啊,第三个如果有 CA 功能,再去签发第四个也是可以的啊 |
|
17
julyclyde 20 天前
理论上,第四个如果是由 digcert (我猜你想说 digicert )签发,那就不可能由 free-m.wifi 签发
要不你导出第四个证书给大家看看? |
 |
18
moult 20 天前 2
这个跟免费 WIFI 有啥关系。
应该纠结第三个证书怎么签发出来的,为什么 Basic Constraints 和 Key Usage 具有 CA 的属性。 |
|
19
moult 20 天前
建议把第三个证书的 PEM 贴出来看下
|
 |
20
qwasfun 20 天前
你在手机上安装软件了
|
 |
21
laminux29 20 天前
国内免费 Wi-Fi 都有实名制与管控要求,其安全设备的实现方式就是基于证书的中间人攻击。
|
 |
22
DefoliationM 20 天前
op 可能不太了解密码学和计算机网络相关的知识,合法就不会报证书错误了,这种都随便生成的。你可以让 llm 给你写个生成这种证书的脚本/代码。
|
 |
23
lzhd24 20 天前
不用想也知道,你只要上网,那么你的数据就有泄露的风险,能让你看出来证书有问题的,可能都是小手段。。。真正有实力的中间人攻击,你证书看不出来。。。。。。。
|
 |
24
FrankAdler 20 天前
哪个合法 CA 敢任意签发证书?等着被吊销吧!
|
 |
25
dddedd 20 天前
@FrankAdler 敢任意签直接倒闭
|
 |
26
EchoWhale 20 天前 via iPhone
不懂就问,难道连接不同的网络,同样网站的证书链会有区别吗?
|
 |
27
webcape233 20 天前 via iPhone
公司都不用 wifi ,外面连 wifi 开 tailscale 回家绕一圈
|
 |
29
longsays 20 天前 via Android
@EchoWhale 他这种不同网络不同证书就是中间人攻击,或者你自己装了第三方软件导致的中间人,比如有些广告拦截就是靠中间人解密后拦截广告
|
 |
33
Bxiswiwbdydux 20 天前 via Android
我全部把银行 app 的 wifi 联网方式关了。
|
 |
35
isnullstring 20 天前
除了提前在设备上植入自签的证书可以外,TLS 可以正常保证安全吧
|
 |
36
kiii 20 天前
那边房子空着,偶尔去住两天,30 买了个路由器中继楼下饭店烧烤店什么的,用着也没问题,就是吃饭高峰期比较卡
|
 |
37
sayoll 19 天前 via Android
对于我这种 365x24 开 doh 的,应该风险不大吧
|
 |
38
artiga033 19 天前 via Android
> 发现一个证书错误
> 通过合法 CA 进行任意域名的签署 左右脑互搏是吧 |
 |
39
xmdbb 19 天前
国内吗?国内所有的公共 wifi 都要有审计的,所以我从来不用。
包括星巴克一样,只要提供公共 wifi ,就需要购买公安认可带审计功能的 |
 |
40
pxw2002 19 天前
太扯淡了吧
|
 |
41
robin001 19 天前
流量充足 基本不连公共 Wi-Fi
|
|
43
yinmin 19 天前 via Android
@sikong31 #42 vpn server ( IKEv2 )会告诉 ios 哪些网段走 vpn ,如果开启“按需连接”,访问 vpn 网段会自动连接 vpn 。当 vpn server 接管所有流量( 0.0.0.0/0 )时,开启“按需连接”可防止 wifi 窃听数据。
|
|
44
yinmin 19 天前 via Android
接#43 ,使用 ios 内置的 vpn 协议时,切换手机 4G5G 网络/wifi ,vpn 会断开。必须先连 wifi 再开启 vpn ,中间有一个时间差。公共 wifi 信号波动,手机可能会短暂切到 4G/5G 再切回 wifi ,vpn 就断了。
开启“按需连接”就是为了避免 vpn 异常断开被 wifi 窃听。 |
 |
45
laoyur 19 天前
谁能告诉我一下,这个 “一什么一个不吱声” 到底什么鬼意思,是暗自开心到不吱声,还是吃暗亏到不敢吭声?
|
 |
46
SmartNeo 19 天前 4
@laoyur 从上下文判断,可以能要表达“这个东西不好但用的人吃了亏不敢说出来”的意思。非常反感这种说法,看着就让人恶心。如果能点踩的话,看到这种句式的回答我都会点个踩的。对于这样说话的人,我一律将其认定为轻度智力障碍。
|
 |
48
Ipsum 19 天前
你系统没有安装三方 ca ,正常应用访问 https 直接会报错,比如我司的深信服。确实在意安全,公共 WIFI 开个 vpn 就没事了。
|
 |
49
ryd994 19 天前 via Android
@liuidetmks 不用打码。你把整个证书链导出来,举报给 Mozilla 和 Google 能让这家 CA 直接倒闭。
- CNNIC 违规签发 Google 的证书,声称是内部测试使用 - WoSign 违规签发 GitHub 的证书,原因是验证系统疏忽,验证子域名可以签发根域名的证书 这两家 CA 都是一经查实,立刻被剔除浏览器信任列表。有什么原因你可以慢慢找借口,反正证书先踢掉。你拿得出这个证书,那就是铁证。 @julyclyde #16 这个证书链显然有毛病。因为正规 CA 不可能为第三方签发带 CA 功能的证书。如果哪家 CA 看到 CSR 带 CA 功能还签字,那也是大 bug 。 如果能签得出来,那 cloudflare zero trust 也就不需要在使用 TLS 解密功能时安装 CA 了。cloudflare 这么大的公司都解决不了的问题,你觉得这些免费 wifi 系统的提供商能做到吗? |
 |
50
Keine 19 天前 1
勿以善小而不为,整治网络环境人人有责
连接公共 WiFi 后访问 HTTPS 网站, 打开证书详情并导出完整证书链,记录颁发机构、指纹与有效期; 用 openssl 获取握手信息并保存;查询证书是否存在于 CT 日志; 整理证书文件与复现步骤,提交至 Mozilla 或 Google 的 CA 违规报告渠道。 |
 |
51
rammiah 18 天前
你不如直接把证书贴出来,我们一起去举报,让不规范的 CA 倒闭
|
 |
52
jiangzm 18 天前
我觉得不太可信,如果是可信的证书链为啥有证书错误,除非把证书贴出来。 @liuidetmks 都在等你的贴证书呢,不要装看不到啊
|
 |
53
skylancer 18 天前 via iPhone 1
这个帖子只能暴露了卤煮懂了点却懂不多
|
 |
54
joyanhui 18 天前
@liuidetmks `通过合法 CA 进行任意域名的签署,这种 MITM 不会被系统拒绝`
op 这么牛?我了个豆!!! 竟然有 CA 有漏洞可以被利用,而且还是对任意域名签署!!!!而且还是显存 op 不知道啥时候 公布详情, 这怕是要导致 IT 股全线跌暴了, |
 |
55
cheese 18 天前 2
想当谜语人,结果没成功,还暴露了自己半吊子的水平。“通过合法 CA 进行任意域名的签署” 我就想问谁敢?
|
 |
56
dcdlove 18 天前
为什么不举报这些违规证书
|
 |
57
skkakaka2 18 天前
@liuidetmks 胡扯呢吧?这么搞所有的合法 CA 都成中间人了那 HTTPS 跟明文有什么区别了?不要胡扯啊
|
|
58
pxw2002 18 天前
太扯淡了 估计楼主对 tls 一知半解
|
Select Language