外面的免费 WiFi,你就连吧,一连一个不吱声

2 月 6 日
 liuidetmks

今天看网络日志,发现一个证书错误

一些信息可能比较敏感,引起跑题争论或者误会,做了掩码

 

xxxxxxxxxxxxxx (58xxxxxxxxxx)     这是权威境外 CA crt.sh 能查到 

|

xxxxxxxxxxxxxx (d0xxxxxxxxxx)     这是权威境外 CA crt.sh 能查到

|

free-m.wifi.xxxxxxxxxxxxxx(afaef9xxxxx) (这个证书在 crt.sh 上搜不到)  

|

mysite.com  (实际证书是 digcert 注册的)

免费 WIFI 确实好

9228 次点击
所在节点    程序员
58 条回复
miaomiao888
2 月 6 日
证书错误在已经普遍的 HTTPS 协议通常不是会拒绝连接么
yinmin
2 月 6 日
iphone 里的 vpn 设置有“按需连接”,启用后能接管所有流量加密传输所有数据,避免 wifi 监听。

android/iphone 开启 wireguard 也有这个功能,所有流量都必须走 wireguard 通道,wifi 是无法监听通讯的。
liuidetmks
2 月 6 日
@miaomiao888 通过合法 CA 进行任意域名的签署,这种 MITM 不会被系统拒绝
pingdog
2 月 6 日
captive portal 认证要重定向的常规流程,HSTS preload 的域,浏览器会拒绝跳转,所以 captive portal 很多只能从 http 跳过去认证页面
本机不信任公用网络的 CA 基本没什么问题,如果公用网络的 gateway 开了 deep inspection ,你打开任何 https 都会显示证书错误
imlonghao
2 月 6 日
正文占用一半篇幅的证书链没有一丝意义,通篇可以省流为

OP 发现某些免费 WiFi 存在中间人攻击
yinmin
2 月 6 日
如果你担心酒店 wifi/公司 wifi 有监听,可以部署一个私有 vpn server ,然后测试:
(1) 手机开启 vpn 后:切换手机 5G 和 wifi 后 vpn 不会断开;
(2) 手机开启 vpn 后,关闭 vpn server:vpn 不会断开并维持无法上网状态;再切换手机 5G 和 wifi ,vpn 仍然不断开并维持无法上网状态;开启 vpn server 后网络恢复正常。

以上测试完成后,你的 vpn 就是一个有效的抵御 wifi 监听的方式。在连入公共 wifi 前开启 vpn 即可。
HENQIGUAI
2 月 6 日
接近十年快没有连接过免费 wifi 了。
imlonghao
2 月 6 日
@liuidetmks 合法 CA 任意域名签发这是能吊销 CA 的,看看证书
yinmin
2 月 6 日
@liuidetmks #3 没有 1 个合法 CA 会做任意域名的签署用于监听,这是被明令禁止的。浏览器有一个证书透明度检查,能实时发现这种违规行为,如果被发现这种违规,商业 CA 会在几周内被吊销掉,结束他的商业生命。这是操作都是私有 CA 证书导入设备后才能实现的。
shiny
2 月 6 日
你看看隔壁 TrustAsia /t/1187331
未授权签发证书能把他们急成啥样
Saniter
2 月 6 日
这是拦截 web auth 用的证书吧
MindMindMax
2 月 6 日
从来不用公共 wifi ,星巴克的除外
iX8NEGGn
2 月 6 日
“合法 CA 进行任意域名的签署”,这不成立吧,不然 TLS 就是摆设,所有网站都不安全了。
liyafe1997
2 月 6 日
这证书会被浏览器/客户端拦吧?
si
2 月 6 日
我平时都关 WiFi 用流量,只有需要配置什么的时候才连 WiFi 。
julyclyde
2 月 6 日
这证书链其实没啥毛病啊
前两个权威,第三个被第二个签发,那就没问题啊,第三个如果有 CA 功能,再去签发第四个也是可以的啊
julyclyde
2 月 6 日
理论上,第四个如果是由 digcert (我猜你想说 digicert )签发,那就不可能由 free-m.wifi 签发
要不你导出第四个证书给大家看看?
moult
2 月 6 日
这个跟免费 WIFI 有啥关系。
应该纠结第三个证书怎么签发出来的,为什么 Basic Constraints 和 Key Usage 具有 CA 的属性。
moult
2 月 6 日
建议把第三个证书的 PEM 贴出来看下
qwasfun
2 月 6 日
你在手机上安装软件了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1191236

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX