这是一个创建于 3092 天前的主题,其中的信息可能已经有所发展或是发生改变。
一般比较重要的网站, 我不光要看是 绿色 https 的, 还会顺手点开看一下证书信息, 核对一下证书的签发者和其他信息. 一来 是 安全强迫症. 而来是防止被未授权的 ca 进行中间人攻击.
比如访问谷歌网站, 我就只信任 谷歌 ca 签发的证书, 如果发现其他的 ca 签出的谷歌证书, 一般就有问题了. 虽然我自己还没有亲自发现过. 不过请参考 上次 cnnic 事件.
最近, chrome 的新版本, 要想查看到证书的信息, 多点了两级.
不理解谷歌为什么要把证书藏起来. 可能是因为很多人不关心证书本身的安全性.
大家怎么看.
比如访问谷歌网站, 我就只信任 谷歌 ca 签发的证书, 如果发现其他的 ca 签出的谷歌证书, 一般就有问题了. 虽然我自己还没有亲自发现过. 不过请参考 上次 cnnic 事件.
最近, chrome 的新版本, 要想查看到证书的信息, 多点了两级.
不理解谷歌为什么要把证书藏起来. 可能是因为很多人不关心证书本身的安全性.
大家怎么看.
第 1 条附言 · 2016-05-23 09:16:50 +08:00
@VmuTargh HPKP Preload 完全没有普及开, 国内就更不用说了。
@yeyeye 直接远程攻击 https 目前来看依然比较困难,需要劫持你的 ip 流量, 还要能伪造证书。 但是整个公钥体系中最薄弱的环节: 根证书, 正在受到越来越多的攻击。 举个例子, 淘宝, 阿里巴巴, 12306 等都会在你的电脑上安装自己的全功能根证书。 其中, 淘宝, 阿里巴巴都是静默安装, 连提示都没有。 目前没有证据表明它们进行了中间人攻击, 但是这在技术上确实是可行的。 再胡说一个例子, 某安全公司( x 管家, x 卫士), 完全有技术能力在你不知情的情况下劫持你。 这些例子是纯技术可能性分析,无证据,纯胡说,不负责任。(没有 1000 w )。
随着 https 的普及, 今后针对 ca 的攻击必将成为趋势。 说不定你在网上下载了个什么游戏之类的, 然后就被安装了根证书。 然后你就“中了 500 万”。 一夜之间发现银行卡清 0 ,一无所有。 到时候你是去彩票中心领奖呢,还是去报案。
@yeyeye 直接远程攻击 https 目前来看依然比较困难,需要劫持你的 ip 流量, 还要能伪造证书。 但是整个公钥体系中最薄弱的环节: 根证书, 正在受到越来越多的攻击。 举个例子, 淘宝, 阿里巴巴, 12306 等都会在你的电脑上安装自己的全功能根证书。 其中, 淘宝, 阿里巴巴都是静默安装, 连提示都没有。 目前没有证据表明它们进行了中间人攻击, 但是这在技术上确实是可行的。 再胡说一个例子, 某安全公司( x 管家, x 卫士), 完全有技术能力在你不知情的情况下劫持你。 这些例子是纯技术可能性分析,无证据,纯胡说,不负责任。(没有 1000 w )。
随着 https 的普及, 今后针对 ca 的攻击必将成为趋势。 说不定你在网上下载了个什么游戏之类的, 然后就被安装了根证书。 然后你就“中了 500 万”。 一夜之间发现银行卡清 0 ,一无所有。 到时候你是去彩票中心领奖呢,还是去报案。
 |
1
yexm0 2016-05-22 17:35:17 +08:00 via Android
其他 ca 帮谷歌签发证书的话 chrome 不会报警?
|
 |
2
shiny 2016-05-22 17:39:31 +08:00 via iPhone
Google 自己可以检测到擅自签发的证书吧。
|
 |
5
yeyeye 2016-05-22 18:27:14 +08:00
HTTPS 被中间人攻击的几率 或许比你中五百万的几率要低 所以…… 不如先买一张彩票吧……
当然啦,如果你的电脑别人也有权限的话……当我没说 |
 |
6
lslqtz 2016-05-22 18:27:57 +08:00
我就是想看 因此保留着 49 最后一个版本 64 位的安装包。
|
|
8
lslqtz 2016-05-22 18:30:13 +08:00
我也反馈过。人不鸟我。
|
Select Language