Tls

有沒有辦法通過模仿證書頒發機構來阻止加密的 https 連接?

  • September 18, 2016

此影片中,展示了理論上如何在客戶端沒有註意到的情況下攔截加密。

簡而言之,連接之間的某些東西可以與請求的伺服器握手並模仿證書頒發機構並與客戶端建立安全連接。

這可以在現實世界中破壞完整性嗎?

是的,這行得通,但訣竅是您需要一個由證書頒發機構簽名的證書和私鑰,該證書頒發機構對您瀏覽的特定位置進行身份驗證。此證書必須是證書鏈的一部分,該證書鏈會導致您的瀏覽器必須信任的 CA 證書。該影片讓您相信 CA 必須說“是”,這是不正確的。

因此,讓我們進入現實生活場景。基本上有兩種可能:

  • 您的瀏覽器中不知何故有一個受信任的證書來驗證您的連接。例如,如果您通過也代理 HTTPS 連接的公司代理瀏覽,則可能會發生這種情況。這些代理存在;他們基本上是查看連接的內容,然後通過 HTTPS 連接將其發送到伺服器。然後代理充當 HTTPS 客戶端。一般來說,IT 部門會確保您的瀏覽器商店中有公司或代理特定的證書。如果您使用股票瀏覽器,連接將會失敗。
  • 受信任的 CA 遭到破壞,並故意或無意地發出錯誤的證書。一個很好的例子是荷蘭的 DigiNotar 崩潰,其中 DigiNotar 為 google.com 等簽署了最終證書。

在這兩種情況下,不知情的使用者都會被誘騙接受連接,即使底層證書鏈與原始證書鏈不同。然而,更仔細的檢查可能會顯示使用的證書與原始證書不同。

引用自:https://crypto.stackexchange.com/questions/40056