如果运营商想要破解 https,能做到吗

2017-03-10 14:16:22 +08:00
 thedog

运营商如果使用中间人攻击之类的技术,可以成功破解 https 并且不让用户发现吗?

8330 次点击
所在节点    SSL
33 条回复
letitbesqzr
2017-03-10 14:25:16 +08:00
如果说中间人攻击技术的话..劫持一些不带 ssl 软件的自动更新,更新个带马的包下来.算不算
gamexg
2017-03-10 14:33:29 +08:00
配合 12306 、银行之类的可以做到。
但是很大可能被浏览器厂家揪出来。
xiaopc
2017-03-10 14:37:50 +08:00
“破解“ HTTPS 运营商还是做不到的。
但是
什么用户?钓鱼链接都信的用户还是黑阔级的用户?
客户端是证书合法性都不校验的某些应用还是支持 hsts preload 的浏览器?
Aliencn
2017-03-10 15:04:05 +08:00
如果你信任了运营商的证书的话,理论上就能被他“破解”你所有的 https 访问了
thedog
2017-03-10 15:09:00 +08:00
如果运营商自己也申请一个合法的 https 证书呢
cevincheung
2017-03-10 15:11:19 +08:00
@thedog #5 看谁签发啊。还记得 CNNIC 被 google chrome 拉黑么?
thedog
2017-03-10 15:14:57 +08:00
@cevincheung 我对证书签发不是很了解,这个证书不是声称自己要办理网站,或者付费就能够申请的吗?
tabris17
2017-03-10 15:17:07 +08:00
只要 CNNIC 的根证书在你浏览器里,就可以
RobertYang
2017-03-10 15:19:25 +08:00
@thedog 如果你要申请证书并且被浏览器信任,那么你申请证书的地方( CA )是被浏览器信任的,你申请证书的域名必须证明是自己的。 CA 发假证书也是有的,但是被发现了直接会被整个拉黑掉,可以看 CNNIC 的非法签发谷歌证书的事,导致现在 CNNIC 自己的网站都是使用的别家的证书 。
cevincheung
2017-03-10 15:20:25 +08:00
@thedog #7

你现在去一个证书厂商申请 v2ex.com 的证书,是不会被通过的。需要验证域名所有权。当然这只是一般的 DV 证书( Domain Validation )企业级证书是需要进行企业资质的验证的,更严格的还要签合同。

SSL 只是一种技术上的保障。但是需要证书厂商的安全工作做到位。如果你可以随意申请任何一个域名的 SSL 证书,那 HTTPS 和 HTTP 就没有任何区别了。
RqPS6rhmP3Nyn3Tm
2017-03-10 15:20:35 +08:00
@thedog 你说的是根证书,不会给运营商的,一个 ca 价值可以上千万
lshero
2017-03-10 15:24:57 +08:00
冒那么大风险破解 HTTPS ?
一个“星空极速” “宽带我世界”客户端分分钟焦作人
thedog
2017-03-10 15:32:24 +08:00
@cevincheung @RobertYang @Aliencn @BXIA @lshero @tabris17 @gamexg 非常感谢,了解了
whileFalse
2017-03-10 15:34:19 +08:00
@lshero 那是什么
RobertYang
2017-03-10 15:44:38 +08:00
@whileFalse 拨号客户端。。。校园网用户应该都是受害者
whileFalse
2017-03-10 15:46:11 +08:00
@RobertYang 那他和 https 有什么关系呢?
lshero
2017-03-10 16:15:55 +08:00
@whileFalse 都装到客户端了传输过程中再怎么加密也没有用啊。就和浏览器乱装插件 https 的页面里依旧可以植入小广告一样
whileFalse
2017-03-10 16:17:32 +08:00
@lshero 这个客户端会往系统里插入根证书吗?
另外 Firefox 不依赖系统根证书。
xia0pia0
2017-03-10 16:21:09 +08:00
看谁签的吧,国内签的有问题,不代表国外签的也没问题。就好比以前还有 sha1 加密的 SSL 证书呢,安全应该是相对的。如果运营商在 CIA 培训过,我认为能。
lshero
2017-03-10 16:24:39 +08:00
@whileFalse 目前看来对于公众服务的拨号客户端没有这样的历史,不代表没有这样的能力。而且客户端除了校园网外基本已经都被淘汰了,所以没必要有这样的担心。
一些杀毒软件采用了插入证书的方式来扫描 https 的安全 http://tieba.baidu.com/p/3492953883

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/346439

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX