是不是只要把服务器证书和私钥拿到手，就可以进行中间人攻击了？

比方说国家队通过特殊手段把我的 DNS 解析给改了，然后拿到了服务器证书（ ssl_certificate ）和服务器私钥（ ssl_certificate_key ），是不是就可以伪造这台服务器了？

yangff

2016-12-13 19:12:49 +08:00

那 TM 就不是中间人攻击了

你就是第二人了

xfspace

2016-12-13 19:50:02 +08:00

劫你 DNS ，劫持者自己做个新的证书，算 MITM 。
证书是公开的。
证书私钥除了自己主动公开(包含被黑)，别人都不会拿到私钥。

Hanxv

2016-12-13 20:05:19 +08:00

舉例

wosgin 簽了一個 github.com 的證書。
通過 dns 污染使用戶訪問登錄 github 跑到某個服務器
我的證書是可信的呀…你不仔細看……就…

拿到了你的私匙。
通過 dns 污染使用戶訪問登錄 github 跑到某個服務器
直接解密咯…

普通的中間人攻擊，( 啥都沒有…
用戶訪問的時候，遊覽器就會提示了…( ie 這貨…我不清楚提不提示

zscself

2016-12-13 20:46:00 +08:00

@yangff 怎么叫第二人？
@Hanxv 也对哈，都有私钥了，直接都可以直接解密流量了，连伪造服务器都不需要了。非法证书比无效证书隐蔽， Certificate Transparency 就可以防范你说的这种情况。
@xfspace 私钥不就在服务器上放着吗，那不是很危险吗？只要一台服务器被攻陷了，是不是私钥就彻底废了？那比较大的公司是怎么防范的？

xfspace

2016-12-13 21:09:28 +08:00

@zscself 堡垒机。蜜罐。私钥一般都不放在裸露互联网的服务器...

t6attack

2016-12-13 21:35:06 +08:00

其实比较大的公司。。。防范的并不有效

billlee

2016-12-13 21:39:58 +08:00

@zscself 有私钥不一定可以解密流量。在使用 forward secrecy 的情况下，要私钥 + MITM 才能解密流量。

t6attack

2016-12-13 21:47:39 +08:00

安全是相对的。要搞清防范目标是谁。
对乱插数据的地方运营商、搜集密码的民间小黑客、不怀好意的基础设施网管， https 是相当有效的。
对以商业为目的大公司来讲，防住他们就够了。剩下的对手属于“可选”。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/327401

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.