lilujun.com

小李blog

当前位置: 主页 > 技術隨筆 >

HTTPS加密已不再可靠

2011-02-21
HTTPS加密已不再可靠,但並不是說其加密技術可以即時破解並偵聽,而是因為提供數碼證書的CA廠商混進了一顆「老鼠屎」。
正因為那顆「老鼠屎」,「HTTPS中間人攻擊」(也作:SSL欺騙、SSL劫持)也像那個「DNS劫持」從個案可以成為常態。受此影響首當其衝為GMAIL,那是因為GMAIL作為許多**人士首選的安全郵箱,「牆」做不到的事情選擇可以由HTTPS劫持來進行。
以往進行「HTTPS中間人攻擊」時,流覽器會因為數字證書不安全所告警,但如今在流覽器的根數位證書裡存在著那個可能胡亂作為的某CA廠商,如果那家CA廠商偽造證書進行欺騙再輔之以其他技術,被調包的HTTPS加密不會被流覽器報警因此形同虛設。
不過總的來說,HTTPS加密對銀行網站等還是安全的,「老鼠屎」關心的只是一些涉及politics的內容。
(以上言論純屬無意識下的妄想,不負任何法律責任。)
------分隔线----------------------------
栏目列表