青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 微软免费杀毒软件Microsoft Security Essentials百度框计算的终极目标 »

解决SSL攻击的方法

  SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。

  因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。

  如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。

  当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。

  名词注释:SSL

  安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/1942.html
  • 文章排行:
  • 1.评论
  • 有没有搞错,只要服务器的私钥不泄漏,其他人去另外签个证书有麻用?
    证书是交钱就能签的
  • 2009/9/30 16:58:45   支持(18)反对(10) 回复
  • 2.xioubin
  • 最近很和谐,大家留言小心点
  • 2009/9/30 18:53:21   支持(15)反对(8) 回复
  • 3.kevin
  • 听起来挺玄的。不过看不懂。
  • 2009/9/30 17:41:16   支持(12)反对(6) 回复
  • 5.阿东
  • SSL这个进入银行系统时好像就会提示。。安全保密。。
    不会这个也有功击。。那网上银行不是危险
  • 2009/9/30 17:03:30   支持(10)反对(5) 回复
  • 10.南靖男
  • “在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件”的方式也不安全的。
    能控制网关恶意伪造这些代码和指定的html请求有效就可以了。
    当然,邮箱验证就更简单,直接拦截就是了。
    相对而言,采用特别的二级域名CNAME指向另外一个特别的domain是比较安全。毕竟证书的发行商只要保证自己同互联网根域名解析服务器之间的通讯不会被劫持,而不用担心访问其用户的指定数据遭到劫持。当然,另外一个条件就是用户能对自己的域名安全的操作,而不是被劫持。
  • 2009/9/30 22:27:54   支持(9)反对(9) 回复
  • 12.麦圆
  • “例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。”——这样话博客提供商和免费空间指定域名提供商也可能被偷换证书了。再说,如果收取邮件的服务器在境内,只要有能力置换通信内容的机构,也有能力假冒邮件接收服务器。所以归根结底,只要G*W在,一切都可以虚构。
  • 2009/9/30 20:16:50   支持(6)反对(7) 回复
  • 14.星光居士
  • 最坚固的堡垒都是从内部攻破的。
  • 2009/9/30 19:03:48   支持(10)反对(12) 回复
  • 15.LouisHan
  • 我国在这方面的技术总是世界领先的
    zyoooo.com 于 2009-9-30 20:06:09 回复
    还是你说得牛!!呵呵。
    t 于 2009-10-1 15:10:26 回复
    犯罪技术遥遥领先
  • 2009/9/30 19:57:27   支持(8)反对(10) 回复
  • 16.三脚猫
  • 没有绝对安全的东西,再安全的东西只是时间的问题。。
  • 2009/9/30 21:05:30   支持(12)反对(14) 回复
  • 17.老胡
  • 威廉龙不如破解个Google的ssl看看,保管轰动!
    williamlong 于 2009-9-30 16:14:47 回复
    我没有google.com的信箱啊。
    unixhater 于 2009-9-30 16:56:19 回复
    就算有了ssl证书又能怎样,除了ZF谁能劫持别人的网站?
  • 2009/9/30 16:13:48   支持(11)反对(14) 回复
  • 18.olneeds
  • 8,9 点钟的太阳炫彩夺目挂在高空,像向世人示耀它的光辉。早上,下了巴士,我眯着一双夹缝的细眼快步往公司方向赶,来不及偷窥刚才走过的摩登美女。
    还在打卡的时候,丽就欣然嬉笑的向我打眼色:“早上看到秦美玲吗? 今天装束得好时尚耶,戴着太阳眼镜,好ing呀!。” 这时秦美玲端着咖啡杯经过,婉尔一笑:“你们是说感觉我今天很不一样? 呵呵。”“我还是穿平时的普通衣服,只是戴了一款太阳眼镜, 太阳大的时候可以保护眼睛,又可以搭配衣服。” “最惊喜的是我花了一元钱买的。” 秦美玲临走的时候还不忘向我们丢下炫耀的一句。
    丽是出了名的淘友,一听有实惠的美物可是馋眼的跟在秦美玲 ×股后面去打探情况去了。原来是OL白领购物网站 做太阳眼镜“一抢一”活动,快看公告。我们急急忙忙的要到网址,按着网站上提示的步骤下了单。 办公室一群姐妹花 闻者有份,人手一副。
    今早一到公司,丽的姐妹帮又在开闹了,原来昨天的眼镜已经收到,大家正在分物呢。我也跑去抢夺了一副,打开精美的包装盒一看,眼镜的镜片平整透晰,框架弧度设计圆滑 ,试戴上之后也轻便舒适,没有压迫的感觉。令我爱不释手。
    我心里暗自抿笑起来,这个周末逛街就穿白色裙子,配上这副太阳眼镜。肯定突出明星气质不少。惹来不少回头率让我那个呆呆的男朋友醋意大发吧。
  • 2009/9/30 17:30:02   支持(6)反对(9) 回复
  • 20.雨豪
  • 这个理论有点牵强,WEB端口在80,ssl端口在443,不是同一端口,即使SSL证书被窃取,只是证书被盗用或是修改相关证书资料,想要域名劫持除非控制DNS或是拿到服务器shell。
  • 2009/10/2 9:22:11   支持(8)反对(11) 回复
  • 21.Jacse
  • SSL购买倒是不贵,私钥不能泄露吧。
  • 2009/9/30 17:13:23   支持(5)反对(9) 回复
  • 22.村夫
  • 第一次听说还有这种事,长见识了!
  • 2009/10/1 20:28:35   支持(8)反对(12) 回复
  • 23.评论
  • 另外签个证书也不能代替这个网站使用中的公钥和私钥
  • 2009/9/30 17:03:34   支持(4)反对(9) 回复
  • 24.marsteel
  • [email protected]箱做域名所有权验证的
  • 2009/10/1 9:31:08   支持(6)反对(11) 回复
  • 25.zhiwu88
  • 要是能详细点就好了,只是大概说了点,估计发行机构知道了也未必懂改正!
  • 2009/9/30 20:44:08   支持(7)反对(13) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.