t*****y
发帖数: 1421 | 1 CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和
windows都认为这个签发的证书是合理合法的
GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://
gmail.com,
首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥,
同时,这个网关持有这个证书的私钥,
因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验证是合法的
接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密
然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密,
顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器
google服务器收到数据传输请求,按SSL协议规范验证也是完全合法的, 然后根据你的请
求返回相关数据
这时候返回的数据对于GFW来说也是透明的, 所以它只需解包然后再用CNNIC签发的证书
加密以后再发给FF
最终FF收到的数据,经过SSL协议规范验证也是完全合法的
但是, 你传输的xxoo内容已经完全被人掌握
谷歌称,在3月20日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。由一家
叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。
_600x600-274x300.png
谷歌警告称此证书可能会冒充其他网站
CNNIC包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎
所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。
谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商,我们阻止了chrome信任 MCS
的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而,MCS没
有把私匙放在合适的HSM,MCS把它安装在中间人代理设备上。这些设备伪装成安全连接
,用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被
配置为信任代理才能够做到这一点。然而,MCS为了简单省事,直接将证书颁发到公共
受信任证证书。这种做法严重违反了证书信任系统的规则。
这种解释是符合事实的。然而,CNNIC还签发了不适合MCS持有的证书权利和预期母的。
由于谷歌已经使用了CRLSet更新,所以Chrome用户不需要采取任何行动。我们并不建议
人们更改密码,或采取其他行动。
再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。
在 twitter上,谷歌发言人补充道:”我们理解MCS只是想查看他们的员工的通讯内容
。”
Mozilla发言人随后称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销。
根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证
书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕
过浏览器警告。
该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA
证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用
于劫持该网络中的所有HTTPS通信。
Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google
发现并报告了该问题。
Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证
书。
目前 Mozilla正在商讨对CNNIC根证书的处理。 | d*b
发帖数: 21830 | 2 有病,你要不开OSCP啥禁止都没用。这事Mozilla禁止的了么?
【在 t*****y 的大作中提到】
: CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和
: windows都认为这个签发的证书是合理合法的
: GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://
: gmail.com,
: 首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥,
: 同时,这个网关持有这个证书的私钥,
: 因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验证是合法的
: 接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密
: 然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密,
: 顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器
| l*****h
发帖数: 709 | | c*9
发帖数: 3241 | 4 " 警惕CNNIC!"
看第一眼,"细腻客!"
还以为是在说板釜呢。。。。 | X*******G
发帖数: 14887 | | T*******a
发帖数: 23033 | 6 尼玛,信谁也不能信狗狗。
【在 t*****y 的大作中提到】
: CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和
: windows都认为这个签发的证书是合理合法的
: GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://
: gmail.com,
: 首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥,
: 同时,这个网关持有这个证书的私钥,
: 因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验证是合法的
: 接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密
: 然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密,
: 顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器
| r*******4
发帖数: 609 | | d***b
发帖数: 376 | 8 你党妈的信誉比狗差多了,CNNIC干的恶心事不是第一次了。。。
【在 T*******a 的大作中提到】
: 尼玛,信谁也不能信狗狗。
| l******t
发帖数: 55733 | 9
赶的上NSA听老绝经女人的床吗
【在 d***b 的大作中提到】
: 你党妈的信誉比狗差多了,CNNIC干的恶心事不是第一次了。。。
| r*******g
发帖数: 32828 | | v**o
发帖数: 4956 | |
|
