关于监控证书

2015-03-26 03:49:00 +08:00
 mrleft
CNNIC事件,有个企业内网监控证书的说法,随便什么样的企业能用吗,这个机制本身不是个错误吗?明明是https还有监控。
2761 次点击
所在节点    程序员
3 条回复
9hills
2015-03-26 03:57:59 +08:00
一般企业的做法是把自定义CA装到机器上,域策略很容易这么做。装自己的CA是没问题的,但CNNIC这次的那个子服务商的做法是不允许的。
honeycomb
2015-03-26 09:18:42 +08:00
如果没有MITM监控,内网就搞不定HTTPS

实际上现在杀毒软件为了监控HTTPS流量也需要装一张自签名证书来进行MITM,否则只能等到TLS里的内容解密以后它才能看有没有病毒


然后现在还有一个叫做证书Pinning的特性
就是对一个TLS或别的加密协议指定仅能使用某个CA发行的证书
NewYear
2015-03-26 17:14:22 +08:00
看了下沃通的介绍,大致意思是在企业/类企业环境中,需要给自己的产品/域名打签名,因为部署自己的CA麻烦,还存着兼容性问题,于是是产生了这种中级证书机构。Google的也是如此,还有戴尔也有,其他的忘记了。

虽然没有明说,但是有限制签名数量,或者对签名的域名范围进行限制/审核,比如签名域名的数量有限制,那么问题就出来了,要达到这种限制,必然要在沃通自己的平台上签发证书(猜的)。以达到限制签名数量之类的情况。

价格估计便宜不到哪里去,是不是任何一个企业都可以呢?这个不清楚,我认为是要看限制标准和费用标准,不同的标准,未必是不可以的,但是签名范围肯定是有所限制的。

然而CNNIC这次就是疏忽(猜测),才导致这种事情发生。

说完了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/179391

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX