昨天的西北工业大学遭受美国 NSA 攻击的报告中,有这么一句话
同时,技术团队还发现,TAO 基础设施技术处( MIT )工作人员使用“阿曼达•拉米雷斯( Amanda Ramirez )”的名字匿名购买域名和一份通用的 SSL 证书( ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”( Foxacid )上,对中国的大量网络目标开展攻击。特别是,TAO 对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
我很奇怪,什么叫通用 SSL 证书?做中间人攻击得有可信证书吧,这难道是通用的可信证书?或者是针对西北工业大学域名签发的可信泛域名证书?
联想到网上有很多小的 SSL 证书公司,他们的签发的证书很不稳,经常会被吊销。他们这种机构可以在不验证的情况下,非法签出各种可信证书吗?如果可以的话,感觉中间人攻击的可行性很高啊。
有没有懂这方面的老哥帮忙科普下,谢谢了
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.