如果运营商想要破解 https,能做到吗

2017-03-10 14:16:22 +08:00
 thedog

运营商如果使用中间人攻击之类的技术,可以成功破解 https 并且不让用户发现吗?

8330 次点击
所在节点    SSL
33 条回复
ferock
2017-03-10 16:33:51 +08:00
楼上真是想象力丰富
sunsol
2017-03-10 16:39:03 +08:00
那么多用 360 浏览器的,根本用不着从网络下手。
bumz
2017-03-10 17:49:20 +08:00
运营商仅靠自己的力量就能破 TLS 的话, TLS 就作废了

当然神一样的对手不如猪一样的队友

几乎每个人的电脑里都安装了一些猪一样的队友
Ouyangan
2017-03-10 18:42:39 +08:00
等量子计算机普及..
winterbells
2017-03-10 19:29:31 +08:00
运营商没这精力吧。。。。
如果有人非要这么做的话,不如直接查水表来的快
jiangzhuo
2017-03-10 19:31:55 +08:00
那么多浏览器,那么多插件,犯不着从 https 上下手。
tSQghkfhTtQt9mtd
2017-03-10 19:51:44 +08:00
@Aliencn 不一定,应用了 HPKP 技术的站点可以防
j8sec
2017-03-11 20:17:45 +08:00
能啊 很多运营商都被 webtrust 审计过了
namebus
2017-03-12 18:08:04 +08:00
楼主说的运营商破解,实际就是指的从可信的层面,这是完全不可能(想都不要想),也没有哪家 CA 敢签发这个属于中间人攻击的证书,看看 CNNIC 和 WoSign 两家的下场就知道了,只要你偷偷干了坏事,太容易被发现,而且一但发现,后果都是最严重的那种。
Hardrain
2017-03-15 10:37:26 +08:00
1.配合 12306 ,让他们用 SRCA 签假证书来 MITM ——估计很多人会中招
2.运营商想尽办法令用户无法使用路由器,要求在电脑上安装软件(校园网?), 这个软件向系统插入自己的根证书,然后 MITM ——很多用户会忽略 UAC ,甚至将其关闭
3.Logjam 或 FREAK 攻击,不过应该没有什么 Client 还支持 export cipher 或者是<1024-bit 的 DH 密钥交换——不太可行
Hardrain
2017-03-15 10:39:35 +08:00
另:
如果网站使用 HPKP ,且 Client 已经和网站建立过安全的连接,上述 1 和 2 恐怕就无法实施了
而如果是第一次连接时 ISP 就想要嗅探,那 HPKP 也没有用了,毕竟没有 HPKP Preload.
yryz
2017-03-16 18:44:19 +08:00
如果是这样的 SSL 配置,再强大的证书也无法保证安全
https://myssl.com/mail.scmc.com.cn
e8c47a0d
2018-08-09 10:41:02 +08:00
如果只是中间人攻击的话,你的客户端会提示证书错误的。
如果是暴破的话,除非 SSL 很弱,否则几乎不可能的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/346439

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX