沃通呵呵. 现在chrome和firefox都对其采取不信任的措施,还不是自己找的
收购了StartCom,还把StartCom给搞臭了
看https://wiki.mozilla.org/CA:WoSign_Issues里面介绍的这样,还有谁会去用
问题1
沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;
问题2
证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;
已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。
问题3
被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:
由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。
沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。
问题4
除了英国程序员曝光的那3个问题,再来说一下其他人曝光的问题——
沃通在2015年4月9日到4月14日之间,签发了392个【相同序列号】的证书。
最近在zhe
回复 20# devil3380
涨姿势啊
回复 21# devil3380
火狐不再信任沃通的证书,的确部分证书因为安全和时间问题暂时停止信任了 绝对是作
回复 23# forgaoqiang 对的。这么好的资源不好好维护,真是作。
@InfoHunter
对于中间人攻击,可以简单介绍一下。通常只要 server 私钥不泄露,证书应该是被伪造的吧,作为 client,只要及时识别出来证书有问题,应该就不会被欺骗吧。
Godbach 发表于 2016-12-05 13:26
@InfoHunter
对于中间人攻击,可以简单介绍一下。通常只要 server 私钥不泄露,证书应该是 ...
中间人攻击不太可能成功吧
首先你得有一个用户浏览器信任根证书签名的证书吧 这个怎么弄到手呢? 正规的CA不会给你签发的吧 除非。。。
回复 26# forgaoqiang
有些缺乏安全意识的用户,可能会忽略浏览器的警告。
回复 27# Godbach
好吧 ( ⊙ o ⊙ )
只不过这些用户和https就没有关系了吧 怎么都会中招 。。。。
改造成HTTPS没遇到什么坑,不过苹果在17年1月要全线HTTPS不是的好像是会不能使用吧,我们这边的游戏之前都用的是http的要全部改掉,登陆的改了但是升级的没有改,导致游戏不能升级,升级的要在CDN上面也要加https的配置= = 。。
回复 29# Fl_wolf
看来升级很顺利,网页内容的资源引用啥的都不需要修改了?