今天碰到个新骗术,可能关于 https 的中间人攻击 ::doge::

2018-09-29 11:40:14 +08:00
 oldcai
打电话我一个同事,说是“中域”的,SSL 要过期了。

我想,应该是想骗到所有者验证,然后弄个证书进行中间人攻击?
2044 次点击
所在节点    问与答
10 条回复
nfroot
2018-09-29 12:50:21 +08:00
被害妄想症吧
oldcai
2018-09-29 13:20:12 +08:00
@nfroot 我们证书还有 2 年才过期,对方冒充“中字头”的公司,本身就是想骗取信任,并不只是想推销产品吧?
wevsty
2018-09-29 13:25:11 +08:00
就是推销产品的。

域名证书签发还是必须要验证所有人的,如果用来随便搞中间人,代理商的上级 CA 会被吊销信任的,CA 信誉破产了也就不可能在卖证书了,代理商没必要搞这种事情断自己的财路。
tcpdump
2018-09-29 17:23:50 +08:00
这个你要去医院看看了吧
whatever93
2018-09-29 17:50:25 +08:00
现在这里评论冷嘲热讽是新流行么#1 #4
llopppp
2018-09-29 17:54:41 +08:00
就是推销的啊...
中 xxx 明显的
还有 x 域、x 网的
建议好好和以往签过的合同对一下...
flowfire
2018-09-29 18:17:42 +08:00
我觉得不太可能,就跟 3L 说的那样,有 CNNIC 前车之鉴在,没有证书签发商敢做这种杀鸡取卵的事的
nfroot
2018-10-04 09:14:30 +08:00
@whatever93 倒不是流行冷嘲热讽,而是从主题(附言内容也是后面加的)的内容完全看不出“中间人攻击”楼主所在公司有啥意义存在。
就好像走在路上,一个广告说可以免费去医院做检查,有的人想到的是哦,只是广告,懒得去看。有的人想到的是可能外星人入侵地球啦,正在找人类做实验(重点是“可能”这个词用得太好了,我只是提一下又不是说绝对)

史密斯曾说,因为我们都知道,没有目的,我们就不会存在。 目的创造我们。 连接我们。 吸引我们,引导我们,驱动我们。 它定义我们的目的。 绑定我们的目的。 我们在这里是因为你。(谷歌翻译)


重点就是,楼主表达的内容是“我们公司有一个网站”,互联网上有千千万万个网站,有“中间人攻击”的价值有几个?实施中间人攻击又何其难?谁吃饱了没事干一个个去用电话去骗个 SSL 证书啊,还不如自己做一个网站呢。

换句话讲,我都打诈骗电话了,我干嘛不直接忽悠你把域名转移给我呢?有了域名就可以为所欲为啦,毕竟就算骗到 SSL 证书了,就能“中间人攻击”了?


我回复之后楼主加了“附言”但是也只是更让我觉得我没说错,有时候真的没必要想那么多。
oldcai
2018-10-07 18:24:43 +08:00
@nfroot 您既不清楚我们公司是做什么,也不知道我们流量,说的是 99.9%的没有这个风险。
可能您没有操作过 ssl 证书的申请过程,
或者没操作过域名转移的过程,
至少是没有网络安全意识,
所以才会这样觉得。
nfroot
2018-10-08 00:19:57 +08:00
@oldcai 评估都是建立在已有信息的基础上,我和上面几个人的想法一样,不过就是个营销电话而已,我这接的可多了。

你不多提供一些信息,就不要妄想别人真正了解你的情况。毕竟 V2EX 不是算命摊子。(即便此时此刻依然还是太少),也所以你猜的和大家猜的不一样,不认同就拉倒吧。

对于我,你的猜测不正确。估计你也不信,随你吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/493791

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX