|
SSL的竊聽和安全最近頗受關(guān)注�����,吳洪聲提出了一種SSL竊聽攻擊的思路,主要是利用了CA簽發(fā)證書的一個(gè)重大缺陷:只驗(yàn)證目標(biāo)網(wǎng)站的域名信箱即可簽發(fā)該網(wǎng)站的證書�����,因此���,只要搞到目標(biāo)網(wǎng)站的一個(gè)信箱��,就可以竊取到這個(gè)域名的SSL證書���。 因此,大多數(shù)免費(fèi)郵箱或公司郵箱的SSL證書都存在網(wǎng)站SSL證書被竊取的可能性���,Gmail由于使用mail.google.com而不是www.gmail.com���,因此得以幸免于難。然而��,有權(quán)使用google.com的Google公司的員工依然有可能獲取google.com的SSL證書����,一旦該證書被用于大規(guī)模的域名劫持,后果不堪設(shè)想��。 如果想要避免這種SSL證書竊取,CA需要修改目前的簽發(fā)流程����,即在簽發(fā)前需要驗(yàn)證申請者對于該網(wǎng)站具有管理權(quán)限,例如�,在網(wǎng)站的首頁增加一小段隱藏代碼,或者在網(wǎng)站上傳一個(gè)指定的HTML文件���,這樣��,只有真正的網(wǎng)站擁有者才能做這樣的操作��,非法竊取者即使有了該域名的郵件�����,也無法獲取該域名的證書����。 當(dāng)然��,從根本上講��,這個(gè)攻擊并非對SSL安全協(xié)議本身的攻擊���,只是對其發(fā)行機(jī)構(gòu)的攻擊�,SSL協(xié)議目前來說還是安全可靠的���。 名詞注釋:SSL 安全套接字層 (Secure Sockets Layer���,SSL) 是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)���。SSL 最常用來在 Web 瀏覽器和 Web 服務(wù)器之間建立安全通信通道��,用以保障在 Internet 上數(shù)據(jù)傳輸之安全����,SSL 利用數(shù)據(jù)加密技術(shù)�,確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會(huì)被截取及竊聽,它也可以在客戶端應(yīng)用程序和 Web 服務(wù)之間使用����。
|
