青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 迅雷上市前途未卜谷歌推域名注册托管服务Google Domains »

防止SSL劫持的终极方法

  众所周知,我们正处在一个存在着各种诈骗、劫持的网络年代,我们的各种帐号密码很多时候都能很容易地被黑客窃取。由此很多网站使用HTTPS来保护用户的信息不被窃取。而HTTPS本身所使用的SSL协议也并不是完美无缺,即使能确保本机安全,也还存在着各种SSL劫持了,令人防不胜防。

  曾经发生过并被大众知晓的SSL劫持有:Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、法国政府伪造CA证书用于劫持Gmail等。当然,还有广为流传的CNNIC,虽然并没有被发现进行过SSL劫持,不过鉴于其之前的所作所为,很多人还是很担心某天会针对自己进行劫持,而针对单人的劫持比较难以发现。

  所以很多人为了安全起见,将CNNIC的SSL证书标记为不信任,但由此带来了一些问题,比如中国区的战网使用了CNNIC颁发的证书导致无法连接,中国区的Windows Azure也使用了CNNIC颁发的证书导致无法连接等问题。而除了CNNIC,很多人还担心很多中级CA机构会以更隐蔽的方式进行劫持。

  鉴于存在着这些问题,那么就需要有相应的解决方法。笔者在这里介绍一个用于预防SSL劫持的开源工具,使用中不存在删除证书的各种问题,也不存在担心中级CA机构的问题。此工具的项目地址为: https://github.com/lehui99/scphcp ,依赖于python,安装python后根据项目主页中的问于答进行操作即可使用。此项目刚开发完成,使用中或许会存在一些问题,如发现问题则欢迎在项目中提Issue,我会尽快进行修复。

  使用此工具后只能防止SSL劫持,并不能防止HTTP劫持,比如《电信级的RSA加密后的密码的破解方法》中使用的HTTP劫持无法预防。所以访问重要的网站时需要确保使用的是HTTPS进行访问。

防止SSL劫持的终极方法,再也不用删除CNNIC啦

  目前使用此工具需要一定的电脑知识,需要会安装python并设置环境变量并编辑配置文件。笔者会在后续开发中制作一个简易使用的exe版给大家,只需持续关注项目主页即可知道何时发布exe版。

  来源:DavidSky(lehui99 # gmail.com)投稿



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3899.html
  • 文章排行:
  • 1.NoAnyLove
  • 我记得以前曾经掀起过一次大规模删除CNNIC根证书的行动,还有大规模的要求根证书组织将CNNIC证书设置为不可信,不过最后好像都风声大雨点小。

    对SSL协议不了解,没怎么看懂这个工具的原理。

    另外,我认为那些叫喧着什么美国监控,什么洋奴美狗的人都是在胡搅蛮缠。美国再怎么监控的,对于普通中国网民的危害能有多大?会被请去美国喝茶?还是会上门查X表?(美国不可能来跨国,对吧)。美国的监控和入侵实际上真正伤害的是华为之类的国有企业和政府机构,和普通网民的关系并不大。所谓的如何保护国民的隐私不受美国侵害什么的口号,说说罢了,完全没必要上升到全民的层次。最近和谐了Google之类的服务,其实都是神仙打架,我们百姓遭殃。另一个方面,大天朝的网络监控和G_F_W作用却是有目共睹。就说不让访问Youtube,真的是为了不让我们看“恐暴视频”?未必吧,现在的优酷上的很多内容不是一样地从Youtube上抓下来的?这个不多说了,大家自己知道就行了。
    秋月梧桐 于 2014-6-29 10:33:42 回复
    你的无知让人感到恐惧
    dd 于 2014-6-29 12:45:19 回复
    无知啊。

    你知道国外的信用卡黑市有多少账号不?

    你知道这些账号是哪里来的不?
    爱国少女骑士团 于 2014-6-30 18:34:48 回复
    谷狗上可以搜到YouTube上的中国恐怖分子宣传的各种视频,这些视频如果是针对美国的,早被删了,但因为是针对中国的,就一直保留,如果让某些中国人轻易搜索到这些内容,被洗脑然后加入他们的恐怖活动,你认为中国遍地都发生昆明那样的事情,就很好玩么?你上不去一个破搜索引擎重要,还是国家安全更重要?
    Pagan 于 2014-7-1 23:54:51 回复
    说得好像真理教的洗脑就很好似的,当然是真理教的安全更不重要,几个昆明顶1个64?真理教既然都屏蔽了YOUTUBE,还有啥资格说三道四?你个红眼睛阿义怎么当的?
  • 2014/6/28 0:31:23   支持(38)反对(24) 回复
  • 2.cc
  • 还要手动更新证书?太麻烦了、谷歌自己就三天两头的换证书。
    lehui99 于 2014-6-28 13:53:38 回复
    看项目主页,将会添加提示是否更新证书的GUI。
  • 2014/6/28 0:43:08   支持(11)反对(8) 回复
  • 3.马来西亚野生动物保育大使
  • 哈哈,把所有网络诈骗犯统统抓起来,枪毙
  • 2014/6/28 10:29:17   支持(12)反对(9) 回复
  • 4.xxx
  • 你可以申请修改ssl的rfc协议了,"大神"
  • 2014/6/29 15:04:39   支持(10)反对(7) 回复
  • 5.百呼一应
  • 这种解决方法是缓存证书,不是很灵活,而且假定第一次访问就被劫持,本身保持的证书就有问题吧
  • 2014/6/28 10:20:58   支持(9)反对(7) 回复
  • 6.vipsks
  • 第一次缓存证书为主,与加密的云服务器证书验证为辅助,有证书验证统计(严格的官方证书认证机制),总之就是加密,防黑客。

    最好是做无中心服务器p2p证书验证机制。官方频繁更换证书,列入黑名单。

    个人观点,仅作参考。
    lehui99 于 2014-6-29 13:37:46 回复
    看项目主页,后续会添加首次访问的3种模式和后续访问的提示。

    官方服务器的话如何做到大众信任的公正是个问题,如果有服务器本身还要防黑客防劫持也是一个问题。

    如果是p2p的话,没有在建立大量人使用的情况下也很难保证不被黑客劫持。参考比特币,只有在大量人用的时候才能防止黑客劫持(算力强的获胜)。
    vipsks 于 2014-7-2 11:13:40 回复
    p2p设计是比特币之类的较好,像证书之类不需要这么多数据,应该参考比特信。

    我认为这个用启储存量不大的,只储存自己的访问过的SLL数据(原数据加多用户的数据验证)及提供上传数据他人验证,像BT下载一样。就像i2p内网数据交换验证而已。

    原始数据和用户数据验证设计有待参考。
  • 2014/6/29 10:32:46   支持(10)反对(8) 回复
  • 7.连曙杰-善勤
  • 这是拜月神教么 我来归队了哈哈
  • 2014/6/28 10:26:07   支持(13)反对(12) 回复
  • 8.magiic927
  • 被逼得没办法,实在是没有比GMAIL更好的邮箱,所以买了个VPN,这都还经常有问题,唉,悲哀
  • 2014/6/30 15:27:52   支持(9)反对(8) 回复
  • 9.尛Ycx
  • 这种解决方法是缓存证书,不是很灵活,而且假定第一次访问就被劫持,本身保持的证书就有问题吧
    lehui99 于 2014-6-28 15:06:46 回复
    看项目主页,将会首次访问提示是否添加证书的GUI。
  • 2014/6/28 10:35:23   支持(8)反对(8) 回复
  • 10.niu
  • 不相信这个不相信那个,可dang爹除了不让你们看恐暴视频,从来没真实的被证明坑过了你们;全身心相信的你们的美爹,结果被确凿的证实了真的监视你们的一举一动;你们的狗爹,主动决定放弃你们,不给你们提供服务,就算你们用ip找到狗爹,他还给你弄个404给你看,这可不是dang爹捣鬼啊。。。
    von 于 2014-6-27 23:08:16 回复
    这货脑抽了?语无伦次毫无逻辑,百把字全都在胡说八道。
    爱国少女骑士团 于 2014-6-27 23:50:31 回复
    洋奴美狗:读书人偷书不算偷,爸爸明珠自由的监视,不算监视,是保护!!汪!汪汪!汪汪汪!!!
    cc 于 2014-6-28 13:58:12 回复
    CN不缺人,也不缺愤青,可怕的不是分是青年,而是一把年纪了还装大粪
    sgsgyg 于 2014-6-30 9:12:57 回复
    好吧,这得心理扭曲到什么程度才能说出这种话来
    skyy 于 2014-7-1 19:02:10 回复
    google是不作恶的。所以为TG所不容。要么一起做恶,要么滚出兲朝。
  • 2014/6/27 22:46:24   支持(7)反对(54) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.