Google安全證書最近偽造

,谷歌發現證書頒發機構(CA)為Google領域發布了偽造證書。這符合通過提供層安全(TLS)以及安全的HTTP(HTTPS)提供的依賴於提供的依賴於,使偽造證書的持有者能夠進行中間攻擊。

為了驗證您所簽出的網站,真的是他們保險聲稱的人,您的瀏覽器確保您訪問的服務器提供的證書由可信CA簽名。當有人從CA申請證書時,他們必須確認提出請求的人的身份。您的瀏覽器以及操作系統具有一組最終可信的CA(稱為Root CAS)。如果證書是由其中之一發出的,或者他們信任的中間CA,則取決於連接。這一整體結構依賴於稱為信任鏈。

通過偽造的證書,您可以說服客戶端的客戶端是http://www.google.com。您可以利用此功能坐在客戶端的連接和實際的Google服務器之間,竊聽其會話。

在這種情況下,中間CA剛剛。這是可怕的,因為它破壞了我們所有我們所有人都依賴於互聯網上所有安全事務的安全性。證書釘扎是一種可以用於承受這種攻擊的工具。它通過將持有與某個證書相關聯工作。如果它更改,則連接不會受到信任。

如果您不能依賴於當局,TLS的集中性就不工作。不幸的是,我們不能。

Leave a Reply

Your email address will not be published. Required fields are marked *