域名的SSL證書泄漏對網站的安全性影響大嗎?
12-28
最近沃通簽發http://github.com證書的新聞挺火。
請問獲取了域名SSL證書如何進行攻擊?除了MITM還有別的手段嗎?拓展閱讀:如何看待中國沃通wosign偷偷收購自己的根CA startcom並且簽發github.com的證書? - 信息安全
沃通那事情不是泄不泄露的問題,而是未經核准域名所有權的前提下頒發了一個Github的證書,往嚴重說有可能會被用於發動中間人攻擊。SO,現在可以拉黑沃通和StartSSL了。
以前沃通還沒什麼黑歷史的時候,我微博上有些好友就開始拉黑沃通的根證書,我還覺得他們小題大做。現在看來,他們是對的!別說國人崇洋媚外,很多時候都是某些機構和公司自己玩死自己。
證書這個東西,不比別的,加密數據一方面。中間人攻擊,運營商劫持,一系列等,都能對企業造成很大的危害。。。國外的很多證書機構,每次簽證書都要幾個人到場,錄視頻的一些,聽一個同事講的,反正危害挺大的。。。
SSL網路安全協議採用了非對稱與對稱混合的加密機制。在建立SSL連接時,網站會把自己的數字證書發送出示給客戶端。客戶端會首先檢驗網站伺服器證書的有效性,主要檢驗這兩點:一、證書是否由客戶端信任的CA之一簽發;二、證書名稱與網站域名的一致性。檢驗通過後,客戶端使用本地隨機數發生器產生一個稱為會話密鑰的對稱加密密鑰,使用伺服器證書中的公鑰加密後,發給伺服器。此後,客戶端與伺服器之間交換的應用數據包都會使用會話加密予以保護。
為了獲得SSL加密通信的內容,中間人需要獲得加密所使用的會話密鑰。中間人採用的方法是,裝成目標網站,向客戶端出示一個偽造的同名伺服器數字證書。為了這個偽造的證書通過客戶端的檢驗,中間人必須讓簽發這個偽證書的CA的根證書進入客戶端的受信任列表。然後,客戶端就會使用中間人的偽證書公鑰加密自己產生的會話密鑰,經過中間人向伺服器發送加密的會話密鑰。中間人收到使用自己的公鑰加密的會話密鑰後,使用自己的私鑰即可解密恢復出明文會話密鑰。中間人在偽裝成伺服器與客戶端建立SSL連接的同時,會與真實的伺服器建立一個正常的SSL連接。以後,客戶端發出的每個加密的應用級請求,如HTTP請求等,中間人都會先SSL解密成明文,然後再SSL加密發給伺服器。伺服器返回給客戶端的數據,中間人也是照此處理。
存在中間人攻擊時,客戶端與伺服器的通信實際上是由兩段SSL安全連接串起來的,客戶端實際上是與中間人建立了SSL連接,一切收發信息都經過了中間人的明態轉發,但是在客戶端瀏覽器上,一眼看上去確是一個到網站的加密https安全連接。然而,所有通信內容,無論是用戶在瀏覽器窗口中的輸入,還是伺服器發送給用戶的網頁內容,都在實施攻擊的中間人的掌控之中。
SSL中間人攻擊的主要危害性在於,網站告訴公眾的信息是,https連接是安全、無法窺視的。人們會在https網頁中進行提交口令、個人信息、進行交易等等需要通信安全保障的操作,SSL中間人攻擊的存在一方面直接導致這些敏感信息的泄漏,另一方面傷害了公眾對安全通信的信心
證書泄露,或者校驗有缺陷容易導致的是https攻擊,可以舉個京東金融和中國移動的例子簡單講一下Android安全之Https中間人攻擊漏洞 - 李大師的文章 - 知乎專欄
嗯。。。私自簽發證書大家也不是第一次見到了。。。
github和google(http://gmail.com)不也都帶有敏感性質嗎。。。
給張圖吧
見仁見智。
簡單說,利用它簽發的假的但受信任的證書發起中間人攻擊,獲取到用戶的數據輕而易舉。
證書的作用不只是HTTPS加密。可以用於偽造VPN認證、文檔、郵件、數字簽名,藉此實現潛入公司內網等目的。
推薦閱讀:
※https以及cookie的問題?
※登錄知乎時,賬號密碼是明文傳送的,安全嗎?
※安全套接層有什麼用?
※通過軟/硬體技術可以做到真正的IP偽造嗎?
※在facebook註冊的賬號被禁用了怎麼解決?