cscsxlm 发表于 2010-9-8 04:16
以下部分内容转自HDC:
看最近老有些加密访问的问题
我来解释一些问题
写给小白看的
我尽量写得浅显易懂一些
第一个问题
Https是什么?
Hypertext Transfer Protocol over Secure Socket Layer
https就是使用了ssl技术的http,或者说是通过SSL技术来传输的HTTP协议
严格意义上来讲,并不应该说ccfbits应用了https技术,而是在HTTP上应用了SSL技术 Continue reading »
在浏览器里删除或取消对cnnic根证书的信任后,可以通过访问以下网址来测试,验证一下删除或不信任的动作是否生效了.
https://tns-fsverify.cnnic.cn/
https://www.enum.cn/cn/
批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 – 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下, 仍然为客户签发了证书.
Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种主流浏览器视为有效的 SSL 证书. 而这买主则将该证书用于对其内部网络用户使用 SSL 加密的网站和服务时的行为进行监控 – 利用受信任的假证书窃听用户与服务器间的通信, 这里的 “监控” 事实上已经属于中间人攻击. 另外, 为了避免该证书私钥被黑客窃走并用于非法用途, 该证书附有一个硬件反泄密系统保护其不被盗用.
尽管如此, 安全专家仍然认为这种情况不可接受, 并已经向谋智网络 (Mozilla) 发出呼吁要求该公司删除 Trustwave 在 Firefox 浏览器和 Thunderbird 邮件软件中的受信根证书. 他们认为, 依据谋智网络的根证书政策和其他软件公司类似的对 CA 证书的要求, Trustwave 的行为已经违反了 “不得故意在证书涉及的各方不知情的情况下签发证书” (即假冒其他服务器的证书) 这一原则.
安全专家也表示, Trustwave 坚持该证书只在客户的内部网络中使用并且不会外流这点在此事件中毫无意义. Christopher Soghoian, 一个要求谋智撤销对 Trustwave 信任的讨论组的一名成员, 写到: “虽然对 SSL 连接的拦截可能是基于合法理由的, 并且这个企业的员工可能完全知情, 但无论如何以上任何一点都不会改变一个事实 – Trustwave 签发的证书已经被用于冒充其他网站. 这种行为不仅完全无法接受, 并且已经违反了谋智的相关政策.” Continue reading »
遭黑客攻击的Diginotar公司是荷兰政府网站唯一的CA证书供应商,现在荷兰政府认为使用Diginotar的证书风险太高,因此决定废除所有的证书。荷兰政府正在寻找新的CA供应商,并建议用户在收到无效CA证书警告时被不要访问该网站。
荷兰政府还向受影响的网站发布了被撤销的531个完整Diginotar证书清单(xlsx),包括了Google.com、skype.com、cia.gov、yahoo.com、twitter.com、 facebook.com、wordpress.com、live.com、mozilla.com、torproject.org。
建议用户永远不要信任以下CA root:DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA – G2, Koninklijke Notariele Beroepsorganisatie CA, Stichting TTP Infos CA。
Diginotar承认黑客在7月中旬入侵系统,给自己发行了数十个伪造CA证书。Computerworld的报导称, 伪造证书数量可能超过200个,其中包括了许多重量级的网站,如Mozilla、Yahoo和Tor项目——这一数字远高于Diginotar承认的数 量。
荷兰安全公司Madison Gurka创始人Hans Van de Looy引用匿名消息来源透露,攻击者发行了大约200个证书。Mozilla已经证实,它接到Diginotar的通知,旗下网站 addons.mozilla.org被黑客发行了伪造的CA证书,该证书随后被撤销。
目前Diginotar的CA已被各大浏览器列入不可信名单。
上个月的流言变成了现实,巴基斯坦电信管理局向所有ISP发去通知, 命令ISP在发现用户使用VPN浏览网页时通知当局。因为VPN加密过的网络通信会让官方无法窃听和监视。通知称,任何要使用VPN的人都需要先得到当局 给予的特别许可。
巴基斯坦当局坚称,此举是为了阻止恐怖分子利用VPN通信,但批评者指出这就像因自杀性爆炸者使用汽车而禁止汽车。
伊朗Gmail用户报告发现了DigiNotar公司发行的伪造Gmail CA证书,它可能被用于发动中间人攻击。DigiNotar的母公司Vasco 30日发表声明承认遭黑客入侵。
Vasco称,DigiNotar是在7月19日检测到CA基础系统遭入侵,黑客为包括Google.com在内的多个网站发行了伪造CA证书。此后,DigiNotar立即按照既定规则采取行动,立即撤销所有伪造证书。但最近的事件显示,至少有一个伪造证书在当时没被撤销。该公司表示将采取一切可能的预防措施确保CA安全,目前将暂停CA证书销售。
Google和Mozilla都分别为Chrome和Firefox发布补丁移除了DigiNotar root CA,微软也将为Windows XP、Windows Server 2003、Windows Vista、Server 2008、Windows 7和Server 2008 R2发布补丁,将其列入不信任CA名单。 Continue reading »
blackhat 发表于 2011年8月30日 16时28分 来自顺便把CNNIC也删除部门
伊朗政府被怀疑利用伪造但有效的CA证书对伊朗Gmail用户发动中间人攻击。在Gmail帮助论坛和Bugzilla,Gmail用户报告发现了荷兰机构DigiNotar发行的CA证书,发行时间是2011年7月10日,证书本身是有效的,因此可被利用发动中间人攻击,将用户流量流经其它路由。
DigiNotar已经在周一宣布撤回该证书。Mozilla表示将发布更新,移除DigiNotar root CA。此次攻击与年初发生的伪造Comodo CA证书如出一辙。Firefox用户如果想立即移除DigiNotar root CA,可以从“选项”——“选项”——“加密”——“查看证书”,然后找到DigiNotar root CA,点击“删除或不信任”。