This topic created in 2233 days ago, the information mentioned may be changed or developed.
对这次 GitHub 事件有个疑问。
如果可以,那么有什么办法避免被这样攻击?
如果可以,那么有什么办法避免被这样攻击?
 |
1
Livid MOD PRO  1
|
 |
2
ccc008 Mar 26, 2020
某某尝试过这样做。CA 已经被吊销了
|
 |
3
mikeguan Mar 26, 2020 via Android
先劫持 DNS,然后搞个信任的 CA 签发证书,这样就可以为所欲为了
|
 |
4
DonaidTrump Mar 26, 2020
能成功,但是这样就好比开锁匠当起了小偷,CA 就是开锁匠
|
 |
5
id7368 PRO 为了应对这种攻击谷歌之前提出 HPKP 公钥固定,也就是只信任某个特定 CA 证书,其他证书即便有效也不信任,后来这个被发现于是又被取消了。
|
 |
6
Oni Mar 26, 2020 via Android
这种事已经发生过了
|
 |
7
morethansean Mar 26, 2020
说白了这是 CA 的责任和义务,不确认瞎颁当然就丢掉了了 CA 背书基本的信任感,被大家移出信任列表……
|
 |
8
mcone Mar 26, 2020
已经发生过了,请学习历史
|
 |
9
lovedebug Mar 26, 2020
曾经做过数字证书和 CA,这是可以的。谷歌很鸡贼的搞了 CTLog 专门对付乱签 google 域名的 CA
|
|
10
lovedebug Mar 26, 2020 1
对付这种情况就是每年都会有 CA 评级,把垃圾 CA 加入到操作系统的 untrusted root 列表或者从 Firefox 中移除
|
 |
11
leafleave Mar 26, 2020 via Android 1
幸亏吊销了 cnnic
|
 |
12
gamexg Mar 26, 2020
Certificate Transparency 建立的目的也是为了找到乱颁发证书的 CA 。
国外的 DigiNotar 、Symantec CA 因为滥发证书被干掉了。 |
|
13
gamexg Mar 26, 2020
对了 cloudflare 提供了一个服务,可以订阅证书签发通知。当域名被签发了证书时能够收到邮件通知。
https://blog.cloudflare.com/zh/introducing-certificate-transparency-monitoring-zh/ |
 |
14
aabbcc112233 Mar 26, 2020 via Android
提问,检验一下域名和证书中的域名不就完美解决了吗?
|
 |
15
shiji Mar 26, 2020 via iPhone 1
@aabbcc112233 印钞厂背着央行偷偷印了钱。
不是假钞,能过验钞机。但是印钞厂会被判刑的。 |
|
16
aabbcc112233 Mar 26, 2020 via Android
@shiji 才明白过来题目是指正确的 ca 证书
|
|
18
id7368 PRO @testcaoy7 不是,是因为缺陷,部署其实很简单的,具体原因可以看取消该标准的新闻: https://www.landiannews.com/archives/41904.html
|
Select Language