这是一个创建于 3918 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近再复习Https和SSL相关的东西,看到CA这块相关的知识时,有点疑问:
1. 经常听说有伪造证书进行中间人攻击的方式,怎么没有伪造证书顺便伪造CA认证的方式呢?
2. http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 这里有篇文章说,CA的合法性来自于上一级的CA认证中心,而浏览器中一般预装根CA认证中心证书,所以最终都能跑到根CA去校验。那有没有可能伪造一个CA根证书置于客户端中,让伪造者的伪造的证书都跑到这个伪造的CA去认证并通过?比如某公司自己出了个浏览器,内置几个假的根CA证书?
说的通俗一点,就是双方交易总要找个第三方做担保,但是怎么保证这个第三方不是跟其中一个人一伙的呢?
自己对于安全这块的知识很零散,但愿不是问了个很蠢的问题。
thanks in advance :)
1. 经常听说有伪造证书进行中间人攻击的方式,怎么没有伪造证书顺便伪造CA认证的方式呢?
2. http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 这里有篇文章说,CA的合法性来自于上一级的CA认证中心,而浏览器中一般预装根CA认证中心证书,所以最终都能跑到根CA去校验。那有没有可能伪造一个CA根证书置于客户端中,让伪造者的伪造的证书都跑到这个伪造的CA去认证并通过?比如某公司自己出了个浏览器,内置几个假的根CA证书?
说的通俗一点,就是双方交易总要找个第三方做担保,但是怎么保证这个第三方不是跟其中一个人一伙的呢?
自己对于安全这块的知识很零散,但愿不是问了个很蠢的问题。
thanks in advance :)
 | 1 wy315700 2015-03-19 09:08:16 +08:00  1 那有没有可能伪造一个CA根证书置于客户端中,让伪造者的伪造的证书都跑到这个伪造的CA去认证并通过 可以,goagent默认那个证书就可以用 |
 | 2 wdlth 2015-03-19 09:10:43 +08:00 1 百度浏览器就是这样做的…… |
 | 3 squid157 2015-03-19 09:16:41 +08:00 via iPhone 1 我的感觉就是无法保证,所以是不是要收入一个根证书,通常需要比较严格的审计吧 |
 | 4 caixiexin OP @wy315700 你说的这个做法应该是手动导入的把?以前用goagent访问https的时候都要这么做,这是用户自己承担风险的。 我的意思是有没有在用户不知道的情况下偷偷放根CA证书的情况,如果有,那CA又怎么说是权威且安全的呢。 |
| 2 @caixiexin 如果是正规浏览器和系统,这种事情是不会发生的,现在的问题是,第三方网站会悄悄的放根证书进去,比如支付宝安全工具什么的 |
 | 6 choury 2015-03-19 09:32:08 +08:00 1 我第一想到的就是支付宝 |
 | 7 hjc4869 2015-03-19 09:36:00 +08:00 via iPhone 1 不要用支付婊这种。。 |
 | 8 sortbylist 2015-03-19 09:40:30 +08:00 1 @caixiexin CA的权威主是要说大部分,要用这个干坏事也有,并且破坏力巨大。因此CNNIC就没人待见。见月光博客http://www.williamlong.info/archives/3690.html和http://www.williamlong.info/archives/4125.html |
| 10 wy315700 2015-03-19 09:47:02 +08:00 1 |
 | 12 ksc010 2015-03-19 11:03:53 +08:00 1 |
 | 14 songco 2015-03-19 11:34:32 +08:00 1 参考cnnic和支付宝的根证书 |
| 15 caixiexin OP 谢谢大家,涨了很多姿势。也就是说其实浏览器的根证书或者根CA的权威还是靠公众对其的监督来保证的么? 关于支付宝偷偷安装根证书的问题,我自己去查查 ps:@blackshow @ksc010 两位头像一大一小,真不是同一个人的大小号么2333 |
 | 17 66450146 2015-03-19 12:51:26 +08:00 可以的,有的传统制造业公司会在公司电脑上安装自己公司的根证书,SSL/TLS 无所遁形~ |
 | 18 kevin1852 2015-03-19 13:04:33 +08:00 @caixiexin 浏览器会预置一些CA的根证书,如果没有,自己可以导入跟证书,导入根证书信任库的时候会提示你信任不信任这个颁发机构。 支付宝是不是偷偷装跟证书我记不清了,主要是CA应该是第三方认证机构,第三方的认证才有权威性,这种属于支付宝自己就充当第三方的结构了,理论上就没有权威性了,但是国内普遍都是这样,工行,建行,移动联通什么的,都是用的自建CA颁发证书。 |
 | 19 mornlight 2015-03-19 13:10:14 +08:00 这些通用顶级CA 是视作权威第三方的。证书本质上是信任。 从利益上说,他们也不会随便干坏事。谁那么蠢把自己赚钱的东西弄丢呢。 伪造CA 放客户端当然可以,你的机器你的环境,你信任谁不信任谁都是自己说了算 |
 | 20 mfaner 2015-03-19 15:32:01 +08:00 我认为是CA证书被客户端信任,客户端被用户信任,这样构成一个完整的信任链 |
 | 22 ihciah 2015-03-19 16:54:16 +08:00 CA签假证书被抓现行整个公司就废了。。 |
Select Language