就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系
背景知识
网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。
如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。
发生了什么事
最近,CNNIC,就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)
意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而窥视我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们那个不能被信任;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
影响范围
基本上所有浏览器的所有用户均受影响!
CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
-
ryoohki
- 帖子: 3249
- 注册时间: 2008-10-28 20:18
-
x007007007
- 帖子: 406
- 注册时间: 2007-11-07 17:53
- 系统: Mac
- 来自: shanghai
- 联系:
万岁-
ryoohki
- 帖子: 3249
- 注册时间: 2008-10-28 20:18
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
不要高兴,Linux,Unix,FreeBSD,MacOS一样也中招的...
-
tenzu
- 论坛版主
- 帖子: 36924
- 注册时间: 2008-11-21 20:26
-
bones7456
- 帖子: 8495
- 注册时间: 2006-04-12 20:05
- 来自: 杭州
- 联系:
-
snowtown86
- 帖子: 1239
- 注册时间: 2009-06-13 16:01
Re:俺属于大部分人
[*]
-
hasee.wu
- 帖子: 2089
- 注册时间: 2009-10-20 21:13
- 来自: Pacific Western University
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
澳洲警方推荐说最安全的上网方式是linux live cd
原来不太相信,现在信了。
最新版的ubuntu 原版desktop cd是比较安全的
至于东莞姓赖的那个母蜂,还是算了吧。
原来不太相信,现在信了。
最新版的ubuntu 原版desktop cd是比较安全的
至于东莞姓赖的那个母蜂,还是算了吧。
-
delectate
- 帖子: 18311
- 注册时间: 2008-01-09 22:41
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
要是说以前没有中间人攻击,我还对证书比较相信
现在完了
现在完了
-
meteormatt
- 帖子: 693
- 注册时间: 2008-02-24 14:15
- 系统: Ubuntu
- 来自: 江苏
- 联系:
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
偷窥就偷窥吧.ryoohki 写了:就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系
背景知识
网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。
如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。
发生了什么事
最近,CNNIC,就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)
意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而窥视我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们那个不能被信任;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
影响范围
基本上所有浏览器的所有用户均受影响!
反正见到有CNNIC的证书,删除就OK了.
反正也是给国家政府看,个人信息要看就看吧.
怀念以前的老台式机。可惜现在租的地方没条件用了。目前只能用笔记本和手机了。
-
Lavande
- 论坛版主
- 帖子: 5352
- 注册时间: 2008-12-21 15:27
- 来自: TARDIS
-
funicorn
- 帖子: 1318
- 注册时间: 2005-09-13 4:56
- 系统: Ubuntu Jammy Jellyfi
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
ie8有隐私模式
-
silverymoon
- 帖子: 7
- 注册时间: 2010-02-26 23:39
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
有解决办法啊。。。autoproxy的作者发了一篇文章。
有两个证书,CNNIC root和CNNIC ssl,在ff里选不信任就可以了。。。
有两个证书,CNNIC root和CNNIC ssl,在ff里选不信任就可以了。。。
-
Bill Lee
- 帖子: 598
- 注册时间: 2009-09-19 20:50
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
大家可以到Firefox那里讨论,但必须就事论事,比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。
其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。
其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。
aMule 2.3.1 is coming...
真正动态的 amule-dlp is coming...
本人帐号在2011年1月被盗,在2011年1月3日17:19到2010年1月6日13:34之间本帐号发的一切帖子、短信等与本人无关!
amule-dlp 开发动态
amule-dlp on Google Code
WebArchiver - 基于 wget 的网页归档工具(PyQt4 GUI 前端)
Linux 2.6.34 编译笔记
真正动态的 amule-dlp is coming...
本人帐号在2011年1月被盗,在2011年1月3日17:19到2010年1月6日13:34之间本帐号发的一切帖子、短信等与本人无关!
amule-dlp 开发动态
amule-dlp on Google Code
WebArchiver - 基于 wget 的网页归档工具(PyQt4 GUI 前端)
Linux 2.6.34 编译笔记
-
第21个人
- 帖子: 10
- 注册时间: 2010-01-08 22:49
Re: CNNIC CA 事件,可能大部分人都不懂,不过确实挺重要的
活在中国都不怕了,还有什么可怕的?