今天看网络日志,发现一个证书错误
一些信息可能比较敏感,引起跑题争论或者误会,做了掩码
xxxxxxxxxxxxxx (58xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
xxxxxxxxxxxxxx (d0xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
free-m.wifi.xxxxxxxxxxxxxx(afaef9xxxxx) (这个证书在 crt.sh 上搜不到)
|
mysite.com (实际证书是 digcert 注册的)
免费 WIFI 确实好
 |
1
miaomiao888 14 小时 38 分钟前  1
证书错误在已经普遍的 HTTPS 协议通常不是会拒绝连接么
|
 |
2
yinmin 14 小时 35 分钟前 via iPhone
iphone 里的 vpn 设置有“按需连接”,启用后能接管所有流量加密传输所有数据,避免 wifi 监听。
android/iphone 开启 wireguard 也有这个功能,所有流量都必须走 wireguard 通道,wifi 是无法监听通讯的。 |
 |
3
liuidetmks OP @miaomiao888 通过合法 CA 进行任意域名的签署,这种 MITM 不会被系统拒绝
|
 |
4
pingdog 14 小时 27 分钟前 via Android
captive portal 认证要重定向的常规流程,HSTS preload 的域,浏览器会拒绝跳转,所以 captive portal 很多只能从 http 跳过去认证页面
本机不信任公用网络的 CA 基本没什么问题,如果公用网络的 gateway 开了 deep inspection ,你打开任何 https 都会显示证书错误 |
 |
5
imlonghao 14 小时 25 分钟前 via iPhone 2
正文占用一半篇幅的证书链没有一丝意义,通篇可以省流为
OP 发现某些免费 WiFi 存在中间人攻击 |
|
6
yinmin 14 小时 22 分钟前
如果你担心酒店 wifi/公司 wifi 有监听,可以部署一个私有 vpn server ,然后测试:
(1) 手机开启 vpn 后:切换手机 5G 和 wifi 后 vpn 不会断开; (2) 手机开启 vpn 后,关闭 vpn server:vpn 不会断开并维持无法上网状态;再切换手机 5G 和 wifi ,vpn 仍然不断开并维持无法上网状态;开启 vpn server 后网络恢复正常。 以上测试完成后,你的 vpn 就是一个有效的抵御 wifi 监听的方式。在连入公共 wifi 前开启 vpn 即可。 |
 |
7
HENQIGUAI 14 小时 17 分钟前
接近十年快没有连接过免费 wifi 了。
|
|
8
imlonghao 14 小时 16 分钟前 via iPhone
@liuidetmks 合法 CA 任意域名签发这是能吊销 CA 的,看看证书
|
|
9
yinmin 14 小时 13 分钟前 1
@liuidetmks #3 没有 1 个合法 CA 会做任意域名的签署用于监听,这是被明令禁止的。浏览器有一个证书透明度检查,能实时发现这种违规行为,如果被发现这种违规,商业 CA 会在几周内被吊销掉,结束他的商业生命。这是操作都是私有 CA 证书导入设备后才能实现的。
|
 |
10
shiny PRO 2
你看看隔壁 TrustAsia /t/1187331
未授权签发证书能把他们急成啥样 |
 |
11
Saniter 13 小时 51 分钟前 via Android
这是拦截 web auth 用的证书吧
|
 |
12
MindMindMax 13 小时 49 分钟前
从来不用公共 wifi ,星巴克的除外
|
 |
13
iX8NEGGn 11 小时 50 分钟前
“合法 CA 进行任意域名的签署”,这不成立吧,不然 TLS 就是摆设,所有网站都不安全了。
|
 |
14
liyafe1997 11 小时 41 分钟前
这证书会被浏览器/客户端拦吧?
|
 |
15
si 11 小时 38 分钟前
我平时都关 WiFi 用流量,只有需要配置什么的时候才连 WiFi 。
|
 |
16
julyclyde 11 小时 5 分钟前
这证书链其实没啥毛病啊
前两个权威,第三个被第二个签发,那就没问题啊,第三个如果有 CA 功能,再去签发第四个也是可以的啊 |
|
17
julyclyde 11 小时 3 分钟前
理论上,第四个如果是由 digcert (我猜你想说 digicert )签发,那就不可能由 free-m.wifi 签发
要不你导出第四个证书给大家看看? |
 |
18
moult 10 小时 58 分钟前 1
这个跟免费 WIFI 有啥关系。
应该纠结第三个证书怎么签发出来的,为什么 Basic Constraints 和 Key Usage 具有 CA 的属性。 |
|
19
moult 10 小时 57 分钟前
建议把第三个证书的 PEM 贴出来看下
|
 |
20
qwasfun 10 小时 54 分钟前
你在手机上安装软件了
|
 |
21
laminux29 9 小时 58 分钟前
国内免费 Wi-Fi 都有实名制与管控要求,其安全设备的实现方式就是基于证书的中间人攻击。
|
 |
22
DefoliationM 9 小时 10 分钟前
op 可能不太了解密码学和计算机网络相关的知识,合法就不会报证书错误了,这种都随便生成的。你可以让 llm 给你写个生成这种证书的脚本/代码。
|
 |
23
lzhd24 8 小时 57 分钟前
不用想也知道,你只要上网,那么你的数据就有泄露的风险,能让你看出来证书有问题的,可能都是小手段。。。真正有实力的中间人攻击,你证书看不出来。。。。。。。
|
 |
24
FrankAdler 7 小时 5 分钟前
哪个合法 CA 敢任意签发证书?等着被吊销吧!
|
 |
25
dddedd 6 小时 27 分钟前
@FrankAdler 敢任意签直接倒闭
|
Select Language