12月 032015
 

从2016年1月1日起,哈萨克斯坦网民将需要依法安装国家安全证书,政府推行国家安全证书的理由是保护访问外国网站的哈萨克用户,但这事实上是对所有HTTPS流量发动中间人攻击。今天,越来越多的网站为保护用户隐私和防止监视开始使用HTTPS,加密用户与服务器之间的连接。中国曾经发生过多次伪造证书的中间人攻击(如)。

原文链接(已删除):http://telecom.kz/en/news/view/18729
Google Cache上的页面: http://webcache.googleusercontent.com/search?q=cache:iNgneBgLnIUJ:telecom.kz/en/news/view/18729+&cd=1&hl=en&ct=clnk&gl=us
打不开谷歌缓存页面的,请看下一页的文字内容:https://www.icocean.com/blog/?p=4550&page=2

8月 282014
 

即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。

这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。

Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。

3月 032013
 

今天在邮件列表里看到 John Nagle (就是发明 TCP Nagle 算法的 那个 John Nagle)提到希望 OpenSSL 提供一些帮助自动检测中间人攻击的 方法。 简单地说,因为中间人攻击会改变双方看到的加密流(密钥变了),因此,如果上层协议包含了加密流的某些特征,攻击者想要实施中间人攻击的成本就会大大增加。

他同时举了一个例子,一种早期的加密电话会在话机上显示从密文开始的部分计算的两位数字,而通话双方则通过通话来确认数字相同,这样,中间人攻击的实 施者就必须解析语音并替换掉相关的字词来避免被发现。 Continue reading »