本文想简å•è°ˆè°ˆé‚£ä¸ªæ‰€è°“çš„â€œæ ¹è¯ä¹¦â€ã€‚在访问é“é“部网上售票官网 www.12306.cn åŽï¼Œæœ‰ä¸€ä¸ªé†’目的æç¤ºï¼Œä¸ºä¿è¯é¡ºç•…è´ç¥¨ï¼Œéœ€è¦ä¸‹è½½å®‰è£…æ ¹è¯ä¹¦ã€‚é‚£ä¹ˆä»€ä¹ˆæ˜¯æ ¹è¯ä¹¦ï¼Ÿä¸ºä»€ä¹ˆä¹°ç«è½¦ç¥¨çš„æ—¶å€™éœ€è¦ä¸‹è½½å’Œå®‰è£…,在淘å®ç‰åœ¨çº¿äº¤æ˜“网站è´ç‰©æ—¶å€™ä¸ºä»€ä¹ˆå°±ä¸éœ€è¦è¿™æ ·åšï¼Ÿ
今年开始,人民群众们终于å¯ä»¥é€šè¿‡äº’è”网è´ä¹°ç«è½¦ç¥¨äº†ã€‚è™½ç„¶è¯´åœ¨çº¿ä¹°çš„éš¾åº¦ä¸æ¯”以往排队è´ä¹°ä½Žå¤šå°‘,但这总算是一次值得鼓励的å°è¯•。ä¸è¿‡åœ¨çº¿è´ç¥¨ç³»ç»Ÿä¸€ç»é€€å‡ºï¼Œåœ¨æŠ€æœ¯ä¸Šå°±å·²ç»è¢«äººæ‰¹å¾—ä½“æ— å®Œè‚¤ã€‚
为了确ä¿å®‰å…¨ï¼Œå¾ˆå¤šæ¶‰åŠåœ¨çº¿äº¤æ˜“的网站,例如网上银行ã€è´ç‰©ç½‘ç«™ç‰ï¼Œéƒ½ä¼šä½¿ç”¨SSL技术对页é¢å†…å®¹è¿›è¡ŒåŠ å¯†ã€‚SSL技术在这里的主è¦ç”¨é€”有两个:
- ç¡®ä¿ç½‘ç«™æœåŠ¡å™¨å’Œç”¨æˆ·æµè§ˆå™¨ä¹‹é—´çš„通讯ä¸è¢«çªƒå¬ï¼šè¿™ä¸€ç‚¹å¾ˆå¥½ç†è§£ã€‚SSL属于一ç§å…¬é’¥åŠ å¯†ä½“ç³»ï¼Œç®€å•æ¥è¯´ï¼Œä¸€ä¸ªSSLè¯ä¹¦åˆ†ä¸ºä¸¤éƒ¨åˆ†ï¼šå…¬é’¥å’Œç§é’¥ã€‚å…¶ä¸ç§é’¥ä¼šè¢«ç½‘站所有者妥善ä¿ç®¡ï¼Œå¹¶åœ¨æœåŠ¡å™¨ç«¯ç”¨ç§é’¥å°†ç½‘ç»œé€šè®¯å…¨éƒ¨åŠ å¯†ï¼›è€Œå…¬é’¥ä¼šåœ¨ç½‘ä¸Šå¹¿ä¸ºä¼ æ’ï¼Œä¸€ä¸ªå…¬é’¥åŠ å¯†åŽçš„æ•°æ®åªæœ‰ç”¨æ‰€å¯¹åº”çš„ç§é’¥æ‰èƒ½è§£å¯†ã€‚å› æ¤åªè¦SSLè¯ä¹¦æœ¬èº«å¯ä»¥ä¿è¯å®‰å…¨ï¼Œé‚£ä¹ˆåœ¨è®¿é—®ç½‘站的时候就å¯ä»¥ä¿è¯ç½‘络通讯ä¸è¢«ä»–人所窃å–,并且如果有人进行ä¸é—´äººæ”»å‡»ï¼Œå› 为没有相应的密钥,导致篡改åŽçš„æ•°æ®æ— æ³•é€šè¿‡æ ¡éªŒï¼Œå› æ¤å¯ä»¥åŠæ—¶å¯Ÿè§‰ã€‚
- ç¡®ä¿ç½‘站所宣称的身份真实å¯é :这一点也ä¸éš¾ç†è§£ã€‚网上有个网站å«åšæ”¯ä»˜å®ï¼Œå¯å¦‚何ä¿è¯è¿™ä¸ªç½‘站就是那个真æ£çš„æ”¯ä»˜å®ï¼Œè€Œä¸æ˜¯å…¶ä»–äººä¼ªé€ çš„é’“é±¼ç½‘ç«™ï¼Ÿå› æ¤çœŸæ£çš„æ”¯ä»˜å®å¯ä»¥ä½¿ç”¨SSLè¯ä¹¦ï¼Œè¿™ç§é’ˆå¯¹ä¼ä¸šç”¨çš„è¯ä¹¦çš„ç”³è¯·æ‰‹ç»æ¯”较ç¹çï¼Œæœ‰ä¸€å¤§å †å®¡æŸ¥æµç¨‹ï¼Œéœ€è¦æäº¤å¤§é‡ç›¸å…³çš„è¯æ˜Žæ–‡ä»¶ï¼Œå› æ¤å¯ä»¥ä¿è¯åªæœ‰çœŸæ£çš„æŸå…¬å¸æ‰èƒ½ä»¥è¿™ä¸ªå…¬å¸çš„å义申请è¯ä¹¦ï¼Œåªè¦ç”³è¯·åˆ°è¯ä¹¦ï¼Œå°±å¯ä»¥ç¡®ä¿¡èº«ä»½çš„å¯é 。æ¤å¤–è¿‘äº›å¹´è¿˜æœ‰ä¸€ç§æ›´å¯é çš„EVSSLè¯ä¹¦ã€‚
试试看访问“https://www.alipay.comâ€è¿™ä¸ªåŸŸå,éšåŽå¯ä»¥çœ‹åˆ°ï¼Œåœ¨æµè§ˆå™¨çš„åœ°å€æ ,“Httpâ€åè®®åŽé¢å‡ºçŽ°äº†â€œsâ€è¿™ä¸ªå—æ¯ï¼Œå¹¶ä¸”IEåœ°å€æ çš„å³ä¾§æ˜¾ç¤ºäº†ä¸€ä¸ªé”å¤´å›¾æ ‡ï¼Œå› æ¤è¯æ˜Žè¯¥ç½‘站是SSLåŠ å¯†çš„ã€‚ç‚¹å‡»è¿™ä¸ªé”å¤´å›¾æ ‡åŽï¼Œè¿˜å¯ä»¥çœ‹åˆ°ç½‘站所用è¯ä¹¦çš„相关信æ¯ã€‚
åŠ å¯†åŠŸèƒ½åŸºæœ¬ä¸Šæ²¡ä»€ä¹ˆéœ€è¦è§£é‡Šçš„ï¼Œå› æ¤ä¸‹æ–‡çš„é‡ç‚¹å°†æ”¾åœ¨èº«ä»½å¯é 性这å—。在上图所示界é¢ä¸Šç‚¹å‡»â€œæŸ¥çœ‹è¯ä¹¦â€é“¾æŽ¥ï¼ŒéšåŽå¯ä»¥çœ‹åˆ°è¯¥ç½‘ç«™SSLè¯ä¹¦çš„详情:
上图显示的“VeriSign Class 3 International Server CA – G3â€æ˜¯è¯ä¹¦é¢å‘机构,而“www.alipay.comâ€æ˜¯è¯ä¹¦æŒæœ‰äººã€‚é‚£ä¹ˆåˆ°åº•åº”è¯¥æ€Žæ ·é€šè¿‡è¿™äº›ä¿¡æ¯åˆ¤æ–网站是å¦å¯é ?
在这里一个很通用的规则是:如果æµè§ˆå™¨æ£€æµ‹åˆ°åŠ å¯†ç½‘ç«™æ‰€ç”¨çš„è¯ä¹¦æ˜¯æ£å¸¸çš„ï¼Œé‚£ä¹ˆåœ°å€æ 就会显示为绿色(使用EVSSLè¯ä¹¦ï¼‰æˆ–者白色(使用普通SSLè¯ä¹¦ï¼‰ï¼Œè¿™ç§æƒ…况下å¯ä»¥æ”¾å¿ƒåœ°æµè§ˆè¯¥ç½‘站,并æäº¤è‡ªå·±çš„æ•°æ®ï¼›å¦‚æžœæµè§ˆå™¨æ£€æµ‹åˆ°ç½‘站的è¯ä¹¦æœ‰é—®é¢˜ï¼Œé‚£ä¹ˆåœ°å€æ 就会显示为红色,æé†’我们注æ„ï¼ŒåŒæ—¶å–å†³äºŽå…·ä½“æƒ…å†µï¼Œåœ°å€æ å³ä¾§ä¼šæ˜¾ç¤ºæœ‰â€œè¯ä¹¦é”™è¯¯â€æŒ‰é’®ï¼Œè€Œä¸”网站内容ä¸ä¼šæ˜¾ç¤ºï¼Œå–而代之的是æµè§ˆå™¨çš„è¦å‘Šä¿¡æ¯ã€‚åŸºæœ¬ä¸Šä¸»æµæµè§ˆå™¨çš„æœ€æ–°ç‰ˆæœ¬éƒ½å·²ç»å…·å¤‡è¿™æ ·çš„功能。
è¿™ä¸ªè¿‡ç¨‹çš„åŸºæœ¬åŽŸç†æ˜¯ï¼šå‡è®¾æˆ‘们信任Aå…¬å¸ï¼Œè€ŒAå…¬å¸ä¿¡ä»»Bå…¬å¸ï¼Œé‚£ä¹ˆæˆ‘们就å¯ä»¥ä¿¡ä»»Bå…¬å¸ã€‚很明显,“www.alipay.comâ€çš„è¯ä¹¦æ˜¯â€œVeriSign Class 3 International Server CA – G3â€é¢å‘的,这表示åŽè€…ä¿¡ä»»å‰è€…,å¯ä»¥è¯æ˜Žå‰è€…的真实身份,但是我们åˆå‡ä»€ä¹ˆä¿¡ä»»åŽè€…这个è¯ä¹¦é¢å‘机构?
上述文å—é‡Œä¸æ¢ä¸€æ¬¡æåˆ°â€œä¿¡ä»»â€ä¸€è¯ï¼Œé‚£ä¹ˆâ€œä¿¡ä»»â€åœ¨è¿™é‡Œæ˜¯ä»€ä¹ˆæ„æ€ï¼Ÿæ˜¯å¦åƒæˆ‘ä»¬å¹³æ—¶è®²è¯æ—¶è¯´çš„“我信任他â€é‚£æ ·ï¼Œä»£è¡¨æˆ‘们相信他是个好人,ä¸ä¼šå¹²åäº‹ï¼Ÿå…¶å®žå®Œå…¨ä¸æ˜¯è¿™æ ·ã€‚这里所说的“信任â€ï¼Œåªæ˜¯è¯´æ˜Žè¯ä¹¦æŒæœ‰äººçš„身份是真实å¯é çš„ï¼Œè‡³äºŽæŒæœ‰äººç”¨è¿™ä¸ªè¯ä¹¦å¹²ä»€ä¹ˆäº‹æƒ…,ä¸åœ¨â€œä¿¡ä»»â€çš„范畴内。例如,网上很多è‡åæ˜ç€çš„æ¶æ„软件,现在都带有数å—è¯ä¹¦ï¼ˆå€’是很多æ£è§„ç”¨é€”çš„è½¯ä»¶å› ä¸ºå¼€å‘商缺ä¹å®‰å…¨è§‚念ä¸å¸¦è¯ä¹¦ï¼‰ï¼ŒåŒæ—¶å› 为这些数å—è¯ä¹¦çš„â€œæ ¹â€éƒ½æ˜¯æˆ‘ä»¬ä¿¡ä»»çš„æ ¹è¯ä¹¦é¢å‘æœºæž„ï¼Œå› æ¤ï¼Œæ“作系统和æµè§ˆå™¨æ˜¯ä¿¡ä»»è¿™äº›å…¬å¸çš„身份的,但并ä¸ä»£è¡¨è¿™äº›å…¬å¸çš„软件ä¸ä¼šå¹²å事。åªè¦è‚¯èŠ±é’±ï¼Œä»»ä½•äººéƒ½å¯ä»¥åœ¨å•†ä¸šæ€§è´¨çš„è¯ä¹¦é¢å‘机构买到直接被我们的系统所信任的è¯ä¹¦ã€‚
其实Windows和任何æ“作系统本身就包å«ä¸€äº›å—ä¿¡ä»»è¯ä¹¦é¢å‘æœºæž„çš„æ ¹è¯ä¹¦ï¼Œè¦æŸ¥çœ‹è¿™äº›æ ¹è¯ä¹¦ï¼Œå¯ä»¥è¿è¡Œâ€œcertmgr.mscâ€æ‰“å¼€è¯ä¹¦æŽ§åˆ¶å°ï¼Œç„¶åŽä»ŽæŽ§åˆ¶å°çª—å£å·¦ä¾§çš„æŽ§åˆ¶å°æ ‘ä¸ä¾æ¬¡è¿›å…¥â€œè¯ä¹¦-当å‰ç”¨æˆ·â€â†’“å—ä¿¡ä»»çš„æ ¹è¯ä¹¦é¢å‘机构â€â†’“è¯ä¹¦â€ï¼ŒéšåŽå³ä¾§çš„窗å£ä¸ä¼šæ˜¾ç¤ºæœ¬æœºé¢„ç½®çš„æ‰€æœ‰æ ¹è¯ä¹¦é¢å‘机构,其ä¸å°±æœ‰â€œCA – G3â€ï¼Œè¿™è¡¨ç¤ºæˆ‘们信任“CA – G3â€ï¼Œè€Œâ€œCA – G3â€ä¿¡ä»»â€œwww.alipay.comâ€ï¼Œå› æ¤æˆ‘们å¯ä»¥ä¿¡ä»»â€œwww.alipay.comâ€ã€‚如果从è¯ä¹¦æŽ§åˆ¶å°ä¸åˆ 除“CA – G3â€çš„æ ¹è¯ä¹¦ï¼Œè¡¨ç¤ºæˆ‘们ä¸å†ä¿¡ä»»å®ƒï¼Œé‚£ä¹ˆå®ƒæ‰€ä¿¡ä»»çš„å…¬å¸ä¹Ÿå°†ä¸å†è¢«æˆ‘们信任。
按照上文的方法打开è¯ä¹¦æŽ§åˆ¶å°ï¼Œå¹¶è¿›å…¥åˆ°â€œä¸ä¿¡ä»»çš„è¯ä¹¦â€â†’“è¯ä¹¦â€èŠ‚ç‚¹åŽï¼Œè¿˜ä¼šå‘现里é¢åˆ—出了多个é¢å‘给大é‡çŸ¥åä¼ä¸šçš„è¯ä¹¦ï¼Œä¾‹å¦‚Microsoftã€Googleã€Skypeã€Yahooç‰ã€‚为什么会ä¸ä¿¡ä»»è¿™äº›å¤§ç‰Œäº’è”网ä¼ä¸šï¼Ÿå°±æ˜¯å› 为æŸå®¶æ ¹è¯ä¹¦é¢å‘æœºæž„è¢«é»‘å®¢æ”»ç ´ï¼Œå¯¼è‡´
这些大ä¼ä¸šæ‰€ç”¨è¯¥ CA çš„è¯ä¹¦ç§é’¥è¢«çªƒå–ï¼Œå¹¶è¢«ç”¨äºŽä¼ªé€ å…¶ä»–å¤§ä¼ä¸šçš„è¯ä¹¦ã€‚å› æ¤ä¸ºäº†ä¿è¯å®‰å…¨ï¼Œè¿™äº›è¢«ç›—è¯ä¹¦å·²ç»è¢«åŠé”€ã€‚å› è€Œå°†åŽŸæœ¬è¢«ç›—çš„è¯ä¹¦éƒ½æ·»åŠ åˆ°â€œä¸ä¿¡ä»»çš„è¯ä¹¦â€èŠ‚ç‚¹ä¸‹ï¼Œè¿™æ ·ç›—å–è¯ä¹¦çš„黑客就算使用这些è¯ä¹¦ç»™ç—…毒ç¾å,伪装æˆè¿™äº›å¤§ä¼ä¸šï¼Œä¹Ÿä¼šå› 为è¯ä¹¦åŠé”€çš„缘故ä¸ä¼šè®©äººè½»æ˜“上当。这家倒霉的公å¸å°±æ˜¯è·å…°çš„DigiNotar,该公å¸å› 为这次事件现在已ç»ç ´äº§ï¼Œè€Œä»Žä¸ä¹Ÿè¶³ä»¥è¯æ˜Žè¯ä¹¦åŠé”€æœºåˆ¶çš„é‡è¦æ€§ã€‚这一点会在下文详细介ç»ã€‚微软已ç»é€šè¿‡KB 2607712è¡¥ä¸å°†å—å½±å“çš„è¯ä¹¦å…¨éƒ¨è®¾ç½®ä¸ºä¸ä¿¡ä»»ã€‚
这里è¦é‡ç‚¹æå‡ºâ€œæ ¹è¯ä¹¦â€è¿™ä¸ªæ¦‚念,全世界具有æä¾›æ•°å—è¯ä¹¦ä¸šåŠ¡çš„å…¬å¸æœ‰å¾ˆå¤šï¼Œè€ŒWindowsè‡ªå¸¦çš„â€œæ ¹è¯ä¹¦â€å¾ˆå°‘,默认情况下,我们是如何信任这么多ä¸åŒå…¬å¸é¢å‘çš„ä¸åŒè¯ä¹¦çš„ï¼Ÿå…¶å®žè¿™å°±æ˜¯â€œæ ¹â€è¿™ä¸ªå—çš„å«ä¹‰ï¼Œå› 为å¯ä»¥é¢å‘è¯ä¹¦çš„å…¬å¸è™½ç„¶å¾ˆå¤šï¼Œä½†æœ€åŸºæœ¬çš„æ ¹è¯ä¹¦é¢å‘æœºæž„åªæœ‰æœ‰é™çš„å‡ ä¸ªï¼Œé»˜è®¤æƒ…å†µä¸‹éƒ½æ˜¯è¢«æ“作系统所信任的。那么既然æ“ä½œç³»ç»Ÿèƒ½ä¿¡ä»»æ ¹è¯ä¹¦é¢å‘机构,自然也就å¯ä»¥ä¿¡ä»»è¢«æ ¹è¯ä¹¦é¢å‘机构信任的公å¸ï¼Œè¿›è€Œå¯ä»¥ä¿¡ä»»è¢«è¿™äº›å…¬å¸æ‰€ä¿¡ä»»çš„下一级公å¸ã€‚
å¦‚ä½•è¯æ˜Žè¿™ä¸€ç‚¹ï¼Ÿå¯ä»¥å•击上图ä¸çš„“查看è¯ä¹¦â€é“¾æŽ¥ï¼ŒéšåŽæ‰“开“è¯ä¹¦â€å¯¹è¯æ¡†ï¼Œåˆ‡æ¢åˆ°â€œè¯ä¹¦è·¯å¾„â€é€‰é¡¹å¡åŽï¼Œå¯ä»¥çœ‹åˆ°ä¸‹å›¾æ‰€ç¤ºç•Œé¢ã€‚从该图ä¸å¯ä»¥çœ‹å‡ºï¼Œæ•´ä¸ªè¯ä¹¦ä¿¡ä»»é“¾çš„è·¯å¾„åˆ†ä¸ºä¸‰ä¸ªå±‚æ¬¡ï¼Œæœ€é¡¶å±‚çš„æ˜¯æˆ‘ä»¬ä¿¡ä»»çš„æ ¹è¯ä¹¦é¢å‘机构,该机构给“International Server CA – G3â€é¢å‘了è¯ä¹¦ï¼Œå› æ¤ï¼Œæˆ‘们信任“CA-G3â€ï¼›éšåŽâ€œCA-G3â€åˆç»™â€œwww.alipay.comâ€é¢å‘了è¯ä¹¦ï¼Œå› æ¤ä¹Ÿå¯ä»¥ä¿¡ä»»â€œwww.alipay.comâ€ã€‚如果“www.alipay.comâ€å†ç»™åˆ«äººé¢å‘è¯ä¹¦ï¼Œé‚£ä¹ˆè¿™ä¸ªäººçš„身份ä¾ç„¶å¯ä»¥è¢«æˆ‘们信任。
而é“é“部的在线订票网站并没有走这个一般æ„义上,涉åŠé‡‘èžäº¤æ˜“çš„å•†ä¸šåŒ–ç½‘ç«™éƒ½ä¸¥æ ¼éµå®ˆçš„æ–¹æ³•。也就是说,é“é“部并没有花钱在商业性质的CA(è¯ä¹¦é¢å‘机构)è´ä¹°å—ä¿¡è¯ä¹¦ï¼Œä»–们直接自己给自己é¢å‘è¯ä¹¦ã€‚è¿™æ ·çš„åšæ³•ä¸€èˆ¬ä¸»è¦æ˜¯ç”¨äºŽæµ‹è¯•或å¦ä¹ ç‰éžæ£å¼åœºåˆï¼Œä½†å¦‚æžœä¸€ä¸ªå•†ä¸šåŒ–ç½‘ç«™æƒ³è¦æ£å¼ä¸Šçº¿è¿è¥ï¼Œé€šå¸¸å¹¶ä¸ä¼šè¿™æ ·åšï¼Œå› 为对用户æ¥è¯´é£Žé™©å¤ªå¤§ã€‚
当我们查看12306.cn 这个网站的è¯ä¹¦ä¿¡æ¯æ—¶å°±ä¼šå‘现,这个è¯ä¹¦æ ¹æœ¬æ²¡æœ‰ä¸€ä¸ªæœ‰æ•ˆçš„å—ä¿¡ä»»CA,完全是自己给自己å‘ç€çŽ©çš„ã€‚
ä¸Šå›¾ä¿¡æ¯æ˜¾ç¤ºï¼Œè¯¥è¯ä¹¦çš„é¢å‘è€…ä»¥åŠæ ¹è¯ä¹¦æ˜¯â€œSRCAâ€ï¼Œä¸çŸ¥é“è¿™ä¸ªç¼©å†™ä»£è¡¨ä»€ä¹ˆæ„æ€ï¼Œå¯èƒ½æ˜¯é“é“部内部的æŸä¸ªç³»ç»Ÿã€‚å› ä¸ºSRCA的身份ä¸è¢«ç³»ç»Ÿè‡ªå¸¦çš„ä»»ä½•ä¸€ä¸ªæ ¹è¯ä¹¦æ‰€ä¿¡ä»»ï¼Œå› æ¤12306.cn网站所用的è¯ä¹¦é»˜è®¤ä¹Ÿä¸ä¼šè¢«ä»»ä½•ä¸€ä¸ªç³»ç»Ÿæ‰€ä¿¡ä»»ã€‚å› è€Œé“é“éƒ¨è¦æ±‚å®‰è£…æ ¹è¯ä¹¦çš„åŽŸå› ï¼Œå°±æ˜¯è®©è®¿å®¢å°†è¿™ä¸ªè¯ä¹¦æ‰‹å·¥æ·»åŠ åˆ°â€œå—ä¿¡ä»»çš„æ ¹è¯ä¹¦é¢å‘机构â€èŠ‚ç‚¹ä¸‹ã€‚
å¾ˆé—æ†¾çš„æ˜¯ï¼Œè¿™ç§åšæ³•è™½ç„¶å¾ˆä¸å®‰å…¨ï¼Œå¯å›½å†…的大佬们很喜欢使用。例如在我的系统ä¸ï¼Œè¿™é‡Œå°±æœ‰å»ºè¡Œå’Œå·¥è¡Œç½‘é“¶è‡ªè¡Œæ·»åŠ çš„æ ¹è¯ä¹¦ã€‚
那么这ç§åšæ³•é™¤äº†èƒ½çœå‡ 个钱之外,对用户æ¥è¯´æœ‰ä»€ä¹ˆå±å®³ï¼Ÿ
在12306.cn订票的很多人å¯èƒ½ä¼šçœ‹åˆ°è¿‡â€œè¯¥ç«™ç‚¹å®‰å…¨è¯ä¹¦çš„åŠé”€ä¿¡æ¯ä¸å¯ç”¨ï¼Œæ˜¯å¦ç»§ç»â€è¿™æ ·çš„ä¿¡æ¯ã€‚è¿™æ˜¯ä»€ä¹ˆæ„æ€ï¼Ÿ
还是以上文那个DigiNotarçš„ä¾‹åæ¥è¯´ï¼Œå‡è®¾æŸä¸ªå¤§åž‹CA被攻击,ç§é’¥è¢«çªƒå–ï¼Œè¿™æ—¶å€™æœ‰ä¸¤ç§æ–¹æ³•å°½é‡é¿å…æŸå¤±ï¼š
- 类似Windowsè¡¥ä¸è¿™æ ·ï¼Œç”±è½¯ä»¶åŽ‚å•†é€šè¿‡å‘布更新的方å¼ï¼Œå°†è¢«ç›—è¯ä¹¦å¼ºåˆ¶è®¾ç½®ä¸ºä¸ä¿¡ä»»ã€‚
- 使用è¯ä¹¦åŠé”€åˆ—表(CRL)。
ç¬¬ä¸€ç§æ–¹å¼æ¯”较好ç†è§£ï¼Œä½†å¹¶ä¸æ˜¯æ‰€æœ‰å…¬å¸éƒ½èƒ½èŽ·æ¤æ®Šè£ã€‚æ¯•ç«Ÿä¸»æµæ“作系统的用户数é‡åºžå¤§ï¼Œæ ¹æœ¬ä¸å¯èƒ½é’ˆå¯¹ä¸€ä¸ªåœ°åŒºæ€§çš„,或者规模很å°çš„å…¬å¸çš„被盗è¯ä¹¦å‘布更新,强制ä¸ä¿¡ä»»ã€‚å› æ¤ç¬¬äºŒç§æƒ…况就至关é‡è¦äº†ã€‚æ¯ä¸ªè¯ä¹¦ä¸éƒ½åŒ…å«CRL,其实这个å¯ä»¥ç†è§£ä¸ºä¸€ä¸ªç½‘å€ï¼Œé€šè¿‡è¿™ä¸ªç½‘å€å¯ä»¥èŽ·å¾—è¯ä¹¦åŠé”€çš„相关信æ¯ã€‚
å› æ¤å¦‚果一个å°å…¬å¸é€šè¿‡å•†ä¸šæ€§CAè´ä¹°çš„è¯ä¹¦è¢«ç›—了,åªè¦å°†ç›¸å…³ä¿¡æ¯å‘ŠçŸ¥CA,这家CA就会将这个è¯ä¹¦çš„å†…å®¹æ·»åŠ åˆ°CRLä¸ã€‚éšåŽä»»ä½•一个用户在执行涉åŠåˆ°è¯ä¹¦çš„æ“ä½œï¼Œä¾‹å¦‚å®‰è£…å¸¦æœ‰æ•°å—ç¾å的软件,或者访问SSL网站的时候,系统都会通过这个CRLåœ°å€æ£€ç´¢åŠé”€æ¸…å•,并查看当å‰è½¯ä»¶æˆ–网站使用的è¯ä¹¦æ˜¯å¦ä½äºŽæ¸…å•ä¸ã€‚如果ä¸åœ¨ï¼Œå°±è¯æ˜Žè¿™ä¸ªè¯ä¹¦ä¾ç„¶æ˜¯å¯ä¿¡ä»»çš„ï¼›å¦‚æžœåœ¨ï¼Œå°±è¯æ˜Žè¯¥è¯ä¹¦å·²ç»è¢«ç›—ï¼Œå› æ¤è½¯ä»¶æˆ–网站å˜åœ¨ä»¿å†’çš„å¯èƒ½ã€‚
è€Œå› ä¸º12306.cn使用了自己给自己é¢å‘çš„è¯ä¹¦ï¼Œå› æ¤ä¹Ÿå°±æ ¹æœ¬æ— 法在自己的è¯ä¹¦ä¸åŒ…å«CRLä¿¡æ¯ï¼Œæ‰€ä»¥ä¼šçœ‹åˆ°â€œåŠé”€ä¿¡æ¯ä¸å¯ç”¨â€çš„æç¤ºï¼Œè¿™æ„å‘³ç€æµè§ˆå™¨åœ¨å‘Šè¯‰ä½ ï¼Œä½ æ‰€è®¿é—®çš„ç½‘ç«™ï¼Œä¸ä¸€å®šèƒ½å®Œå…¨è¯æ˜Žå…¶å¯é ,这å¯èƒ½æ˜¯çœŸç½‘站,但也有是钓鱼网站的å¯èƒ½ã€‚
而如果12306.cnçš„è¯ä¹¦ç§é’¥ä¸¢å¤±æˆ–è¢«ç›—ï¼ˆçœ‹çœ‹åŽ»å¹´åº•çš„å¤§è§„æ¨¡æ³„å¯†äº‹ä»¶ï¼Œè°æ•¢ä¿è¯æ²¡æœ‰è¿™ç§å¯èƒ½æ€§ï¼‰ï¼ŒæŒæœ‰è¯¥è¯ä¹¦çš„人想è¦ä¼ªé€ 一个钓鱼网站,或者以é“é“部的身份å‘å¸ƒæ¶æ„软件,那真是轻而易举,并且é“é“部对æ¤ä¼šæŸæ‰‹æ— ç–。
毕竟在线è´ä¹°ç«è½¦ç¥¨çš„äººå…¨éƒ½å®‰è£…äº†è¿™ä¸ªæ ¹è¯ä¹¦ï¼Œè€Œè¯¥è¯ä¹¦æ ¹æœ¬æ— 法通过CRLåŠé”€ã€‚æ¤å¤–还有一个更é‡è¦çš„问题,如果盗å–该è¯ä¹¦çš„人继ç»ä½¿ç”¨â€œSRCAâ€çš„身份给其他人以其他身份é¢å‘è¯ä¹¦ï¼Œä¾‹å¦‚以银行或支付ä¸ä»‹çš„åä¹‰ï¼Œç»“æžœä¼šæ€Žæ ·ï¼Ÿå› ä¸ºæ‰€æœ‰åœ¨çº¿è´ä¹°è¿‡ç«è½¦ç¥¨çš„äººï¼Œç”±äºŽæ ¹è¯ä¹¦çš„关系,系统已ç»ä¿¡ä»»SRCAçš„æ ¹è¯ä¹¦ï¼Œå› æ¤è¿™äº›ä¼ªé€ çš„è¯ä¹¦ä¹Ÿä¼šç›´æŽ¥è¢«ä¿¡ä»»ã€‚最å的情况下,所有çƒé—¨çš„SSLåŠ å¯†ç½‘ç«™ï¼ˆè´ç‰©ã€é“¶è¡Œã€è‚¡ç¥¨â€¦.ï¼‰è¦æƒ³è¢«ä¼ªé€ 都是轻而易举的。
ä»€ä¹ˆæ„æ€å‘¢ï¼Ÿå¦‚æžœæŸå¤©ä½ 访问的“支付å®â€ç½‘站的è¯ä¹¦ä¿¡ä»»é“¾æ˜¯ä¸‹é¢è¿™æ ·ï¼Œä½ è§‰å¾—ä¼šæ˜¯ä»€ä¹ˆåŽæžœï¼Ÿ
çœŸå¿ƒå¸Œæœ›è¿™ç§æƒ…况永远ä¸ä¼šå‘ç”Ÿã€‚åŒæ—¶æ›´åŠ å¸Œæœ›å›½å†…è¿™äº›å¤§ä½¬ä»¬æœ‰æ›´å¤šå®‰å…¨æ„识,尽快认识到目å‰è¿™ç§åšæ³•çš„ä¸è¶³ã€‚商业å—ä¿¡è¯ä¹¦è™½ç„¶éœ€è¦èŠ±é’±ä¹°ï¼Œä½†ä¸æ˜¯å¤ªè´µï¼ŒçœŸçš„ï¼
当然,上述希望å¯èƒ½æ°¸è¿œä¸ä¼šæˆçœŸï¼Œå› æ¤ä½œä¸ºä¸€èˆ¬ç”¨æˆ·ï¼Œå¦‚æžœä½ å·²ç»æˆåŠŸåœ¨çº¿è´ä¹°åˆ°ç«è½¦ç¥¨ï¼ˆæå–œä½ å•Šï¼Œä½ è¦ä¸è¦åŽ»ä¹°ä¸ªå½©ç¥¨è¯•è¯•æ‰‹æ°”ï¼‰ï¼Œé‚£ä¹ˆå»ºè®®ä½ åœ¨â€œå—ä¿¡ä»»çš„æ ¹è¯ä¹¦é¢å‘机构â€èŠ‚ç‚¹ä¸‹å°†SRCAçš„æ ¹è¯ä¹¦å½»åº•åˆ é™¤ã€‚
本文部分内容节选自我的原创图书《Windows 7安全指å—》。
Tags: 安全, æ•°å—è¯ä¹¦
楼主第四段有一段æè¿°å…¬åŒ™å’Œç§åŒ™è¯´çš„ä¸å¯¹ã€‚
应该是用公匙æ¥åŠ å¯†ï¼Œç”¨ç§åŒ™æ¥è§£å¯†ã€‚
[WORDPRESS HASHCASH] The poster sent us ‘0 which is not a hashcash value.
@lixin
å¿™ä¸å‡ºé”™å•Šï¼Œè°¢è°¢æŒ‡æ£ï¼Œå·²ç»æ”¹è¿‡æ¥äº†
看过您的《Windows 7 使用详解》上相关的内容,最近终于用上了…
å¦ï¼Œæ¥¼ä¸»æ˜¯æ€Žä¹ˆæŠŠç³»ç»Ÿå—体改掉的啊…
呵呵,装了一个MacType,全区更改了Windowså—体的渲染方å¼ï¼Œä¸è¿‡ç”¨äº†å‡ 天还是感觉ä¸ä¹ æƒ¯ï¼Œåˆæ¢å›žæ¥äº†
SRCA = Sinorail Certification Authority
å¥½æ–‡ç« å•Š~è¿™å¦æœŸçš„ä¿¡æ¯å®‰å…¨å¤§èµ›å®žè®è¿™é—¨è¯¾çš„æ—¶å€™ç‰¹åœ°åˆæœç´¢åˆ°è¿™ç¯‡æ–‡ç« æ¥å¦ä¹ å¦ä¹ 。
刘è€å¸ˆï¼Œå¾ˆé«˜å…´çœ‹åˆ°ä½ 的这个帖åï¼
é‡Œé¢æœ‰ä¸€ç‚¹ï¼Œå°±æ˜¯å€’æ•°ç¬¬äº”æ®µï¼Œä½ è¯´â€œè€Œå¦‚æžœ12306.cnçš„è¯ä¹¦ç§é’¥ä¸¢å¤±æˆ–è¢«ç›—ï¼ˆçœ‹çœ‹åŽ»å¹´åº•çš„å¤§è§„æ¨¡æ³„å¯†äº‹ä»¶ï¼Œè°æ•¢ä¿è¯æ²¡æœ‰è¿™ç§å¯èƒ½æ€§ï¼‰ï¼ŒæŒæœ‰è¯¥è¯ä¹¦çš„人想è¦ä¼ªé€ 一个钓鱼网站,或者以é“é“部的身份å‘å¸ƒæ¶æ„软件,那真是轻而易举,并且é“é“部对æ¤ä¼šæŸæ‰‹æ— ç–。â€
我觉得é“é“部这ç§è‡ªå·±ç»™è‡ªå·±é¢å‘è¯ä¹¦çš„æƒ…况,那些犯罪份å完全å¯ä»¥ä¸éœ€è¦å®ƒçš„è¯ä¹¦ï¼Œç„¶åŽå°±åŽ»å¼„ä¸€ä¸ªé’“é±¼ç½‘ç«™ï¼Œé‚£ä¸ªé’“é±¼ç½‘ç«™ä¹Ÿç»™è‡ªå·±é¢å‘è¯ä¹¦ï¼Œè¿™æ ·çš„è¯ï¼Œå®¢æˆ·ç«¯æ ¹æœ¬æ— æ³•åŒºåˆ«å‡ºæ˜¯ä¸æ˜¯é’“鱼网站å§ï¼Œä¹Ÿå°±æ˜¯è¯´ï¼Œè¿™ç§æƒ…况下,直接就å¯ä»¥å¼„一个钓鱼网站了,而ä¸éœ€è¦é€šè¿‡ä»€ä¹ˆæ‰‹æ®µå¾—到é“é“部的这个è¯ä¹¦äº†æ‰èƒ½å¼„èµ·æ¥å§ï¼Ÿ
æ˜¯è¿™æ ·çš„ä¹ˆï¼Ÿåˆ˜è€å¸ˆã€‚
问题是,钓鱼网站自己给自己é¢å‘çš„è¯ä¹¦ï¼Œå°±å’Œ12306çš„è¯ä¹¦ä¸€æ ·ï¼Œé»˜è®¤æ— 法被æ“作系统和æµè§ˆå™¨æ‰€ä¿¡ä»»ã€‚å› æ¤12306è¦æ±‚è®¿å®¢å®‰è£…æ ¹è¯ä¹¦ï¼Œè¿™æ ·è¯¥ç½‘站的è¯ä¹¦æ‰èƒ½è¢«ä¿¡ä»»ã€‚å¦‚æžœæ˜¯ä¸€ä¸ªé™Œç”Ÿç½‘ç«™è¦æ±‚è®¿å®¢å®‰è£…æ ¹è¯ä¹¦ï¼Œä¸€èˆ¬æƒ…况下ä¸ä¼šæœ‰å¤ªå¤šäººæ„¿æ„è¿™æ ·åšçš„。而我所认为的风险就在这里,所有在线买过ç«è½¦ç¥¨çš„人都已ç»ä¿¡ä»»12306çš„æ ¹è¯ä¹¦ï¼Œä¸€æ—¦è¿™æ ·çš„æ ¹è¯ä¹¦ä¸¢å¤±ï¼Œç¼ºä¹æœ‰æ•ˆçš„åŠé”€é€”å¾„ï¼Œå› æ¤å˜åœ¨è¢«æ»¥ç”¨çš„å¯èƒ½
写的很好,é“é“éƒ¨çš„ç½‘ç«™å°±åƒæ˜¯å¦ç”Ÿçš„å®žä¹ ä½œä¸šï¼Œå¤ªä¸šä½™äº†ã€‚å»ºè®®ç»™é“é“éƒ¨å‘æ„è§å‡½ï¼Œè¿™ä¸ªä¸€æ—¦å‡ºé—®é¢˜ï¼Œé‚£éƒ½æ˜¯å¤§äº‹
to jruv, ä½ æƒ³ç®€å•了,这是一个大阴谋,é“é“éƒ¨åªæ˜¯å‚与其ä¸è€Œå·²ï¼Œå…¶ä»–çš„æŸäº›å…·æœ‰é™©æ¶ç”¨å¿ƒçš„“有关部门â€å¯ä»¥ç”¨è¿™ä¸ªæ ¹è¯ä¹¦åšå¾ˆå事。
â€œæœ‰å…³éƒ¨é—¨â€æ£æ˜¯åˆ©ç”¨è´ä¹°ç¥¨çš„æ™®éæ€§ï¼Œè¯±ä½¿ç”¨æˆ·å®‰è£…æ ¹è¯ä¹¦ï¼Œä»Žè€Œæ–¹ä¾¿å…¶åšå事。
特洛伊木马知é“ä¸ï¼Œé“é“部就是那个马。
说的很对啊,大阴谋.
å¬è¯´å›½å†…å„ç§æ”¿åºœå¤§ä½¬éƒ½ä¸æ›´æ–°ç”µè„‘æœåŠ¡å™¨ä¸Šé¢çš„东西呢.
写得很棒,有个å°é”™è¯¯ï¼šâ€œæŸå®¶æ ¹è¯ä¹¦é¢å‘æœºæž„è¢«é»‘å®¢æ”»ç ´ï¼Œå¯¼è‡´è¿™äº›å¤§ä¼ä¸šæ‰€ç”¨çš„è¯ä¹¦ç§é’¥è¢«çªƒå–。â€å¤§ä¼ä¸šçš„ç§é’¥æ¯‹é¡»å‘ŠçŸ¥CA,实际上攻击者盗走的是CAçš„ç§é’¥ï¼Œå¹¶åˆ©ç”¨å…¶ç¾å‘å‡å†’çš„googleè¯ä¹¦å®žçްä¸é—´äººæ”»å‡»ã€‚详è§http://en.wikipedia.org/wiki/DigiNotar
感谢指æ£ï¼Œå·²ç»ä¿®æ”¹äº†
å¦‚æžœæ—¢ä¸æƒ³å®‰è£…12306çš„æ ¹è¯ä¹¦åˆèƒ½é¡ºåˆ©è´ç¥¨æœ‰ä¸€ä¸ªæ–¹æ³•,就是使用Firefoxæµè§ˆå™¨ä¸º12306æ·»åŠ ä¸€ä¸ªå®‰å…¨ä¾‹å¤–ï¼Œæ·»åŠ å®‰å…¨ä¾‹å¤–åŽFirefoxå°±ä¸ä¼šç»™å‡ºè¯ä¹¦é”™è¯¯æç¤ºï¼Œä½†å¯ä»¥æ£å¸¸è´ç¥¨ï¼Œä¹Ÿä¸éœ€è¦æŠŠ12306çš„æ ¹è¯ä¹¦æ·»åŠ åˆ°ç³»ç»Ÿã€‚
䏿¢è¯ä¹¦ï¼Œè¿˜æœ‰12306.cn没有é…wwwçš„DNS呢。