月光博客 » 互联网络 » 解决SSL攻击的方法

解决SSL攻击的方法

  SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。

  因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。

  如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。

  当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。

  名词注释:SSL

  安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    评论   说道:
    有没有搞错,只要服务器的私钥不泄漏,其他人去另外签个证书有麻用?
    证书是交钱就能签的
    支持(18反对(10回复
  1. 2
    xioubin   说道:
    最近很和谐,大家留言小心点
    支持(16反对(8回复
  1. 3
    kevin   说道:
    听起来挺玄的。不过看不懂。
    支持(12反对(6回复
  1. 4
    mimzyx   说道:
    咱私人不怕不怕。
    支持(14反对(8回复
  1. 5
    阿东   说道:
    SSL这个进入银行系统时好像就会提示。。安全保密。。
    不会这个也有功击。。那网上银行不是危险
    支持(10反对(5回复
  1. 6
    探客   说道:
    CNGOV
    CA+劫持都可以做
    支持(11反对(8回复
  1. 7
    Eeffee   说道:
    网上没有安全的了?
    支持(10反对(8回复
  1. 8
    izai   说道:
    CNGOV同意
    CA+劫持都可以做
    支持(8反对(7回复
  1. 9
    sweetsea   说道:
    网络安全防不胜防!
    支持(9反对(9回复
  1. 10
    南靖男   说道:
    “在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件”的方式也不安全的。
    能控制网关恶意伪造这些代码和指定的html请求有效就可以了。
    当然,邮箱验证就更简单,直接拦截就是了。
    相对而言,采用特别的二级域名CNAME指向另外一个特别的domain是比较安全。毕竟证书的发行商只要保证自己同互联网根域名解析服务器之间的通讯不会被劫持,而不用担心访问其用户的指定数据遭到劫持。当然,另外一个条件就是用户能对自己的域名安全的操作,而不是被劫持。
    支持(9反对(9回复
  1. 11
    少爷   说道:
    这么危险?不过我不用SSL。
    支持(10反对(11回复
  1. 12
    麦圆   说道:
    “例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。”——这样话博客提供商和免费空间指定域名提供商也可能被偷换证书了。再说,如果收取邮件的服务器在境内,只要有能力置换通信内容的机构,也有能力假冒邮件接收服务器。所以归根结底,只要G*W在,一切都可以虚构。
    支持(6反对(7回复
  1. 13
    jjyy   说道:
    真正的漏洞还是中间人攻击吧
    支持(7反对(9回复
  1. 14
    星光居士   说道:
    最坚固的堡垒都是从内部攻破的。
    支持(10反对(12回复
  1. 15
    LouisHan   说道:
    我国在这方面的技术总是世界领先的
    zyoooo.com 于 2009-9-30 20:06:09 回复
    还是你说得牛!!呵呵。
    t 于 2009-10-1 15:10:26 回复
    犯罪技术遥遥领先
    支持(8反对(10回复
  1. 16
    三脚猫   说道:
    没有绝对安全的东西,再安全的东西只是时间的问题。。
    支持(12反对(14回复
  1. 17
    老胡   说道:
    威廉龙不如破解个Google的ssl看看,保管轰动!
    williamlong 于 2009-9-30 16:14:47 回复
    我没有google.com的信箱啊。
    unixhater 于 2009-9-30 16:56:19 回复
    就算有了ssl证书又能怎样,除了ZF谁能劫持别人的网站?
    支持(11反对(14回复
  1. 18
    olneeds   说道:
    8,9 点钟的太阳炫彩夺目挂在高空,像向世人示耀它的光辉。早上,下了巴士,我眯着一双夹缝的细眼快步往公司方向赶,来不及偷窥刚才走过的摩登美女。
    还在打卡的时候,丽就欣然嬉笑的向我打眼色:“早上看到秦美玲吗? 今天装束得好时尚耶,戴着太阳眼镜,好ing呀!。” 这时秦美玲端着咖啡杯经过,婉尔一笑:“你们是说感觉我今天很不一样? 呵呵。”“我还是穿平时的普通衣服,只是戴了一款太阳眼镜, 太阳大的时候可以保护眼睛,又可以搭配衣服。” “最惊喜的是我花了一元钱买的。” 秦美玲临走的时候还不忘向我们丢下炫耀的一句。
    丽是出了名的淘友,一听有实惠的美物可是馋眼的跟在秦美玲 ×股后面去打探情况去了。原来是OL白领购物网站 做太阳眼镜“一抢一”活动,快看公告。我们急急忙忙的要到网址,按着网站上提示的步骤下了单。 办公室一群姐妹花 闻者有份,人手一副。
    今早一到公司,丽的姐妹帮又在开闹了,原来昨天的眼镜已经收到,大家正在分物呢。我也跑去抢夺了一副,打开精美的包装盒一看,眼镜的镜片平整透晰,框架弧度设计圆滑 ,试戴上之后也轻便舒适,没有压迫的感觉。令我爱不释手。
    我心里暗自抿笑起来,这个周末逛街就穿白色裙子,配上这副太阳眼镜。肯定突出明星气质不少。惹来不少回头率让我那个呆呆的男朋友醋意大发吧。
    支持(6反对(9回复
  1. 19
    yoo   说道:
    这个我不关心
    支持(9反对(12回复
  1. 20
    雨豪   说道:
    这个理论有点牵强,WEB端口在80,ssl端口在443,不是同一端口,即使SSL证书被窃取,只是证书被盗用或是修改相关证书资料,想要域名劫持除非控制DNS或是拿到服务器shell。
    支持(8反对(11回复
  1. 21
    Jacse   说道:
    SSL购买倒是不贵,私钥不能泄露吧。
    支持(5反对(9回复
  1. 22
    村夫   说道:
    第一次听说还有这种事,长见识了!
    支持(8反对(12回复
  1. 23
    评论   说道:
    另外签个证书也不能代替这个网站使用中的公钥和私钥
    支持(4反对(9回复
  1. 24
    zhiwu88   说道:
    要是能详细点就好了,只是大概说了点,估计发行机构知道了也未必懂改正!
    支持(8反对(13回复
  1. 25
    marsteel   说道:
    几乎都是发给admin/webmaster/postmaster@example.com这种邮箱做域名所有权验证的
    支持(6反对(11回复
  1. 26
    对啊博客   说道:
    沙发啊。O(∩_∩)O哈哈~
    支持(10反对(19回复

发表留言