刚看新闻,有人在微博上爆出电信替换了自签名。
http://static.cnbetacdn.com/article/2017/0424/c6b07e084995381.jpg
“一位提供游戏网络加速服务的用户在微博上报告,中国电信悄悄替换了其自签名证书,“为何有的地区访问我的 HTTPS 网站,获得的证书并不是我签发的。
你们很聪明,只替换掉自签发的证书,因为自签发证书浏览器本来就有警告加上大部分信息都一样,神不知鬼不觉,用户很难发现自己的 HTTPS 访问被监听了,要不是我的软件对证书指纹有验证根本不会发现这问题 。”原证书是 RSA-2048 ,伪造的证书是 RSA-1024 。中国电信客服表示可以“协调处理”。 ”
This topic created in 3308 days ago, the information mentioned may be changed or developed.
 |
1
gen900 Apr 24, 2017 via iPhone
中间人攻击。这是专有名词不意味着一定有狭义的攻击发生,但是网络安全已经无从谈起了。
监听,篡改,窃取……可以做的事多了去了 |
 |
2
tyfulcrum Apr 24, 2017
用自签名的网站不多吧,除了 12306 这种的还有比较大众的网站用么?
|
 |
3
zhihaofans Apr 24, 2017 via iPhone
@tyfulcrum 我上次才在 V2EX 看到一个
|
 |
4
lyhiving Apr 24, 2017 via Android
业务需要,等不了了,赶紧上车
|
 |
5
akwIX Apr 24, 2017
就算自签自用,也得自己先签个 CA 再来签发别的证书
|
 |
6
jasontse Apr 24, 2017 via iPad
搞个大新闻。先观望
|
 |
7
ltux Apr 24, 2017 via Android
劫持,插广告。
|
 |
8
taineric Apr 24, 2017 via Android
既然都一样,这加密有什么意义
|
 |
9
mdzz Apr 24, 2017
然而 RSA-1024 才是真证书
ref: http://weibo.com/1219205751/F00TyA2ev |
 |
11
wdlth Apr 24, 2017
毕竟提供“网络加速”,电信也想看看“加速”的内容……
|
 |
12
roist Apr 24, 2017
最近某被通缉的 郭姓巨富 在海外闹的风生水起,把我党弄得有鸡飞狗跳的架势,相关即得利益者欲杀之而不得,加强措施可以理解
|
 |
13
tzxun Apr 24, 2017
虽说电信吃相难看,但是在生产环境使用自签名完全就是自废武功。在 SSL 证书日益便宜的现在,这种行为本身就是对用户极不负责的行为。
|
 |
14
ryh Apr 25, 2017 via iPhone
里面还有笨蛋在刷“哈哈哈假的比真的安全” 也是神逻辑 第三方随便中间人的 2048bits 证书怎么会比 1024 的服务器自签的安全
|
 |
15
davidyin Apr 25, 2017
有个 CCA 记录好像就是可以防止这种的。
|
 |
17
Williamp Apr 26, 2017
Off course, this decision is made by telecom for user's information security and trust to their website because browser gives the warning for self-signed certificate https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/
|
Select Language