ACME http-01 验证的缺陷: ISP 可以合法地签发伪造的 SSL 证书

2023-10-27 12:13:53 +08:00
 baobao1270

https://blog.gslin.org/archives/2023/10/21/11401/isp-%e5%81%bd%e9%80%a0%e5%87%ba%e5%90%88%e6%b3%95%e7%9a%84-ssl-certificate%ef%bc%8c%e5%b0%8d%e6%94%be%e5%9c%a8%e5%be%b7%e5%9c%8b%e7%9a%84-xmpp-ru-%e9%80%b2%e8%a1%8c-mitm-%e7%9b%a3%e8%81%bd/

很多人认为 ISP 并不能监听 HTTPS ,讲了很多 TLS 的原理,却没想到其实只需要简单的修改 IP 路由就能获取合法的 SSL 证书,而恰恰是 http-01 这一验证方式给了他们便利。

4067 次点击
所在节点    信息安全
42 条回复
bao3
2023-10-27 21:08:41 +08:00
@xmumiffy 这要看“你”是特定目标,还是群体目标。“你”是一个你,还是一群“你”
mikewang
2023-10-28 04:10:56 +08:00
证书透明度,一定程度上让 ISP 不敢作为中间人去窃取证书。因为一旦 ISP 冒名顶替用户申请证书,那么这个记录就能被用户在 https://crt.sh/ 等网站查到,用户发现异常就可以申请吊销证书并且告它了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/985964

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX