chrome 现在想从地址栏查看到证书信息, 要比以前多点几次鼠标了. 这样真的好吗

This topic created in 3665 days ago, the information mentioned may be changed or developed.

一般比较重要的网站, 我不光要看是绿色 https 的, 还会顺手点开看一下证书信息, 核对一下证书的签发者和其他信息. 一来是安全强迫症. 而来是防止被未授权的 ca 进行中间人攻击.
比如访问谷歌网站, 我就只信任谷歌 ca 签发的证书, 如果发现其他的 ca 签出的谷歌证书, 一般就有问题了. 虽然我自己还没有亲自发现过. 不过请参考上次 cnnic 事件.

最近, chrome 的新版本, 要想查看到证书的信息, 多点了两级.

不理解谷歌为什么要把证书藏起来. 可能是因为很多人不关心证书本身的安全性.

大家怎么看.

Supplement 1 · May 23, 2016

@VmuTargh HPKP Preload 完全没有普及开，国内就更不用说了。

@yeyeye 直接远程攻击 https 目前来看依然比较困难，需要劫持你的 ip 流量，还要能伪造证书。但是整个公钥体系中最薄弱的环节：根证书，正在受到越来越多的攻击。举个例子，淘宝，阿里巴巴， 12306 等都会在你的电脑上安装自己的全功能根证书。其中，淘宝，阿里巴巴都是静默安装，连提示都没有。目前没有证据表明它们进行了中间人攻击，但是这在技术上确实是可行的。再胡说一个例子，某安全公司（ x 管家， x 卫士），完全有技术能力在你不知情的情况下劫持你。这些例子是纯技术可能性分析，无证据，纯胡说，不负责任。（没有 1000 w ）。
随着 https 的普及，今后针对 ca 的攻击必将成为趋势。说不定你在网上下载了个什么游戏之类的，然后就被安装了根证书。然后你就“中了 500 万”。一夜之间发现银行卡清 0 ，一无所有。到时候你是去彩票中心领奖呢，还是去报案。

证书

谷歌

Chrome

签发者

8 replies • 2016-05-22 18:30:14 +08:00