月光博客 » 互联网络 » 解决SSL攻击的方法

解决SSL攻击的方法

  SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。

  因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.Gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。

  如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。

  当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。

  名词注释:SSL

  安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。

解决SSL攻击的方法

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    评论   说道:
    有没有搞错,只要服务器的私钥不泄漏,其他人去另外签个证书有麻用?
    证书是交钱就能签的
    支持(18反对(10回复
  1. 2
    xioubin   说道:
    最近很和谐,大家留言小心点
    支持(16反对(8回复
  1. 3
    kevin   说道:
    听起来挺玄的。不过看不懂。
    支持(12反对(6回复
  1. 4
    mimzyx   说道:
    咱私人不怕不怕。
    支持(14反对(8回复
  1. 5
    阿东   说道:
    SSL这个进入银行系统时好像就会提示。。安全保密。。
    不会这个也有功击。。那网上银行不是危险
    支持(10反对(5回复
  1. 6
    探客   说道:
    CNGOV
    CA+劫持都可以做
    支持(11反对(8回复
  1. 7
    Eeffee   说道:
    网上没有安全的了?
    支持(10反对(8回复
  1. 8
    izai   说道:
    CNGOV同意
    CA+劫持都可以做
    支持(8反对(7回复
  1. 9
    sweetsea   说道:
    网络安全防不胜防!
    支持(9反对(9回复
  1. 10
    南靖男   说道:
    “在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件”的方式也不安全的。
    能控制网关恶意伪造这些代码和指定的html请求有效就可以了。
    当然,邮箱验证就更简单,直接拦截就是了。
    相对而言,采用特别的二级域名CNAME指向另外一个特别的domain是比较安全。毕竟证书的发行商只要保证自己同互联网根域名解析服务器之间的通讯不会被劫持,而不用担心访问其用户的指定数据遭到劫持。当然,另外一个条件就是用户能对自己的域名安全的操作,而不是被劫持。
    支持(9反对(9回复

发表留言


点击更换验证码