当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 14 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 1:26 

注册: 2008-10-28 20:18
帖子: 3249
送出感谢: 0 次
接收感谢: 0 次
就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC,就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而窥视我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们那个不能被信任;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

影响范围

基本上所有浏览器的所有用户均受影响!


页首
 用户资料  
 
2 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 1:55 
头像

注册: 2007-11-07 17:53
帖子: 390
地址: shanghai
系统: Mac
送出感谢: 0 次
接收感谢: 1
:em09 万岁


_________________
人生来只做的两件事:
1.犯错
2.改错
只犯错不改错的是魔鬼,只改错不犯错的是上帝
总之,都不是人!!!!!!!!!!!!!
我的地盘


页首
 用户资料  
 
3 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 11:30 

注册: 2008-10-28 20:18
帖子: 3249
送出感谢: 0 次
接收感谢: 0 次
不要高兴,Linux,Unix,FreeBSD,MacOS一样也中招的...


页首
 用户资料  
 
4 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 11:37 
头像

注册: 2008-11-21 20:26
帖子: 36913
送出感谢: 1
接收感谢: 36
相关帖应该有两个了


_________________
讨厌我的人可以试着点一下
浏览全部ubuntu技巧


页首
 用户资料  
 
5 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 11:48 
头像

注册: 2006-04-12 20:05
帖子: 8495
地址: 杭州
送出感谢: 0 次
接收感谢: 8
要不要扔进小黑屋呢??


_________________
关注我的blog: ε==3


页首
 用户资料  
 
6 楼 
 文章标题 : Re:俺属于大部分人
帖子发表于 : 2010-02-12 11:50 
头像

注册: 2009-06-13 16:01
帖子: 1239
送出感谢: 2
接收感谢: 1
[*]


页首
 用户资料  
 
7 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 14:39 
头像

注册: 2009-10-20 21:13
帖子: 2089
地址: Pacific Western University
送出感谢: 0 次
接收感谢: 7
澳洲警方推荐说最安全的上网方式是linux live cd

原来不太相信,现在信了。


最新版的ubuntu 原版desktop cd是比较安全的


至于东莞姓赖的那个母蜂,还是算了吧。


页首
 用户资料  
 
8 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-12 14:53 

注册: 2008-01-09 22:41
帖子: 18311
送出感谢: 0 次
接收感谢: 6
要是说以前没有中间人攻击,我还对证书比较相信

现在完了


页首
 用户资料  
 
9 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-15 22:51 
头像

注册: 2008-02-24 14:15
帖子: 693
地址: 江苏
系统: Ubuntu
送出感谢: 17
接收感谢: 0 次
ryoohki 写道:
就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC,就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而窥视我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们那个不能被信任;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

影响范围

基本上所有浏览器的所有用户均受影响!


偷窥就偷窥吧.

反正见到有CNNIC的证书,删除就OK了.

反正也是给国家政府看,个人信息要看就看吧.


_________________

怀念以前的老台式机。可惜现在租的地方没条件用了。目前只能用笔记本和手机了。


页首
 用户资料  
 
10 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-15 23:57 
头像

注册: 2008-12-21 15:27
帖子: 5349
地址: TARDIS
送出感谢: 1
接收感谢: 10
ls不怕跨省 :em04


_________________


页首
 用户资料  
 
11 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-18 18:57 

注册: 2005-09-13 4:56
帖子: 1015
系统: Ubuntu QQ
送出感谢: 0 次
接收感谢: 38
ie8有隐私模式


_________________
添加ppa后只更新此ppa:
update-ppa()
{ sudo apt-get update -o Dir::Etc::sourcelist="sources.list.d/$1.list" -o Dir::Etc::sourceparts="-" -o APT::Get::List-Cleanup="0"
}
写入~/.bashrc,source一下,就可以直接用,是不是很方便?觉得方便就按个赞。


页首
 用户资料  
 
12 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-02-28 21:28 
头像

注册: 2010-02-26 23:39
帖子: 7
送出感谢: 0 次
接收感谢: 0 次
有解决办法啊。。。autoproxy的作者发了一篇文章。
有两个证书,CNNIC root和CNNIC ssl,在ff里选不信任就可以了。。。


页首
 用户资料  
 
13 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-03-01 13:09 

注册: 2009-09-19 20:50
帖子: 598
送出感谢: 0 次
接收感谢: 2
大家可以到Firefox那里讨论,但必须就事论事,比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。
其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。


_________________
aMule 2.3.1 is coming...
真正动态的 amule-dlp is coming...
本人帐号在2011年1月被盗,在2011年1月3日17:19到2010年1月6日13:34之间本帐号发的一切帖子、短信等与本人无关!
amule-dlp 开发动态
amule-dlp on Google Code
WebArchiver - 基于 wget 的网页归档工具(PyQt4 GUI 前端)
Linux 2.6.34 编译笔记


页首
 用户资料  
 
14 楼 
 文章标题 : Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
帖子发表于 : 2010-03-05 19:29 

注册: 2010-01-08 22:49
帖子: 10
送出感谢: 0 次
接收感谢: 0 次
活在中国都不怕了,还有什么可怕的?


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 14 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:Yahoo [Bot] 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译