关于 360,其实去年还有个故事

2016-10-09 01:23:02 +08:00
 lhbc
CAB Forum 有人问,为什么 360 SE 浏览器在证书错误的情况下,依然加载页面并且发送 cookies
360 的解析是因为中国有很多自签证书和过期证书,这是提升用户体验
最后 360 的做法是弄个更显眼点的提示条……这事就不了了之
详细过程可以看 mailing list
https://cabforum.org/pipermail/public/2015-April/005441.html

现在 360 SE 浏览器依然会直接加载证书错误的网站并且发送 cookies
6410 次点击
所在节点    信息安全
37 条回复
0TSH60F7J2rVkg8t
2016-10-09 12:01:14 +08:00
@yxwzaxns 自签名就是,你自己也可签 ABC ,我也可以签 ABC ,谁都可以签 ABC ,无法验证 ABC 到底是不是 ABC 。所以,自签名的证书很容易受到中间人攻击,如果浏览器还默认不检测证书可靠性,对自签名一概放过,那就神不知鬼不觉 https 降级到 http 了。
yxwzaxns
2016-10-09 12:37:12 +08:00
@ahhui 这么说,那么自签名只是不能验证 abc 是不是 abc ,但是传输过程的确是加密的吧,
lhbc
2016-10-09 13:55:41 +08:00
@yxwzaxns 如果只是一两个人访问,问题不大,自己去核对证书就行。
但公开的网站,自签证书跟不加密真没太大区别,因为访客无法校验证书的有效性。
要校验就必须查看所有证书链的指纹并核对,而且证书更新、吊销后,还需要通知到所有人新的证书指纹。
相当于把 CA 整个链条干的活用人工来干……
所以,中间人攻击是轻而易举的。熟练应用各种工具的话,只比明文麻烦一点点。
0TSH60F7J2rVkg8t
2016-10-09 16:14:55 +08:00
@yxwzaxns 证书除了验证 ABC 是不是 ABC 之外,还能验证出在通讯的线路中,是否有中间人、窃听者。自签名的证书因为无法验证 ABC 是不是真的 ABC ,也就无法判定通讯中,是否有中间人存在。如果有中间人存在,你通讯的对象就是中间人,那他和你之间的信息交换对他来说就是透明的,然后他拿到你的信息,再和 ABC 通讯,这样的加密还有什么意义呢?数据安全已经不存在了,这和脱了裤子放屁是一样的道理啊。
horsley
2016-10-09 16:47:54 +08:00
@ryd994 我说的不好签不是技术上做不到的意思,是没办法做正规做的意思,例如 ip 的,内网域名之类的,都没办法申请正规证书。
0TSH60F7J2rVkg8t
2016-10-09 16:50:46 +08:00
@horsley 内网和 IP 也应该可以签,并不困难。找国内的 CA ,比如 CNNIC, WoSign ,颁发一个专用的中级证书,然后再分配内网的 IP 和域名,都应该没问题。
Osk
2016-10-09 17:06:17 +08:00
同意 @ryd994 整个自己的 CA 确实方便很多啊, https ,代码签名证书都可以,安个 ca 证书就行了,又不花钱买证书,可不可以对 ip 地址签发不知道,但可以用内网 dns 解析啊,要求不高连 openwrt 都可以搞定。当然,各部门各整各的 CA 的话当我没说
Quaintjade
2016-10-09 17:12:19 +08:00
@ahhui
公网 IP 可以签,但你必须"拥有"该 IP 。内网名称或保留段的 IP 不能签,以前签的现在也都吊销了。按照 BR :
2016 ‐ 10 ‐ 01 7.1.4.2.1 All Certificates with Reserved IP Address or Internal Name must be revoked.

要签的话,要么自签,要么不用 Public PKI 体系,找国内一些自己玩的 CA 可能可以(比如 CFCA 之类)。用 public root CA 签内网证书,被发现后果就是直接吊销,毕竟 CT 开始普及,以及各浏览器都有监测上报机制。
0TSH60F7J2rVkg8t
2016-10-09 18:05:55 +08:00
@Quaintjade 多谢指教
yxwzaxns
2016-10-09 19:08:46 +08:00
@ahhui @lhbc 明白了,多谢
nicevar
2016-10-11 11:08:03 +08:00
@ryd994 拜托,你的理解能力能再提升点么?我说直接用明文了?整个人在自己的思考里面意淫有意思?首先我不反对 https ,只是对 https 不满,流程搞得太复杂,加上利益问题,出现国内这种特殊情况,已经影响到基本用户了,随着时代发展这东西如果被替代很正常。我看到你回复说的费用我就想笑,真的。你知道为什么国内很多企业自制证书甚至让客户端忽略证书的情况么?如果你还没工作或者不涉及到这些,我跟你扯多了没用。另外我没有说 TLS 蠢,我也没有资格说,谢谢
ryd994
2016-10-11 23:34:14 +08:00
@nicevar 需要提升的是你。不验证 CA 的 https 谁都可以 mim ,等于明文,上面我已经说过
至于费用我无话可说,便宜的 5 刀 10 刀一年,贵的 EV 上千上万,免费的 let's encrypt 。哪个不比自签安全?更还有,就算自签,也不应该忽略证书,自己签个 CA ,在客户端上部署自己的 CA ,同时维护吊销列表,你会发现整个一套做下来,还是买个证书便宜。
nicevar
2016-10-12 18:25:19 +08:00
@ryd994 还买证书呢,真是愣头青啊,都说了有的地盘不让使用购买的证书?现在都有几家大的国企直接忽略证书的,你要是留点心全国的消费品里面都能发现,算了,不跟你多说了,说了半天你都没明白
xmumiffy
2016-10-12 18:48:52 +08:00
https://www.zhihu.com/question/30031313
如何看待 360 浏览器为了“用户体验”,在网站证书无效时继续加载网页?
ryd994
2016-10-13 00:35:44 +08:00
@nicevar 你的逻辑真有意思:因为国内特色,所以我们应该放弃 TLS
想起前阵子国密 SM3
底裤上交国家,最安心
我觉得挺适合你用
ryd994
2016-10-13 00:38:15 +08:00
@nicevar 另外,我大概发现不了,平时不在国内,基本不用国产软件,就算用也是挂代理
nvidiaAMD980X
2016-10-15 08:49:09 +08:00
@ryd994 我也是,锅内的大部分软件一律拉黑数字签名。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/311276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX