如何保证 CA 证书颁发机构的合法性?

2015-03-19 08:54:31 +08:00
 caixiexin
最近再复习Https和SSL相关的东西,看到CA这块相关的知识时,有点疑问:
1. 经常听说有伪造证书进行中间人攻击的方式,怎么没有伪造证书顺便伪造CA认证的方式呢?
2. http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 这里有篇文章说,CA的合法性来自于上一级的CA认证中心,而浏览器中一般预装根CA认证中心证书,所以最终都能跑到根CA去校验。那有没有可能伪造一个CA根证书置于客户端中,让伪造者的伪造的证书都跑到这个伪造的CA去认证并通过?比如某公司自己出了个浏览器,内置几个假的根CA证书?
说的通俗一点,就是双方交易总要找个第三方做担保,但是怎么保证这个第三方不是跟其中一个人一伙的呢?
自己对于安全这块的知识很零散,但愿不是问了个很蠢的问题。
thanks in advance :)
7478 次点击
所在节点    SSL
24 条回复
wy315700
2015-03-19 15:44:56 +08:00
@mornlight 好多人就喜欢杞人忧天,总觉得只有他自己的CA才安全。
ihciah
2015-03-19 16:54:16 +08:00
CA签假证书被抓现行整个公司就废了。。
choury
2015-03-19 17:33:26 +08:00
@66450146 说的是华为么
msg7086
2015-03-23 16:20:52 +08:00
@caixiexin 以前 Chrome 的隐私模式上有一句话说得很好。
隐私模式不能防止 **站在你背后的人**。
证书也是一样。如果有人/软件直接操作了你的电脑,导入了伪造证书,那么也没有什么事情是他们不能做的了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/177909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX