Mozilla 发现用于中间人攻击的证书

最新推荐文章于 2024-09-22 16:04:28 发布
最新推荐文章于 2024-09-22 16:04:28 发布
阅读量132 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/110941
CNNIC颁发的一份证书被用于中间人攻击,部署在网络防火墙中以劫持HTTPS通信。此证书原本仅限于特定公司的内部使用,却被滥用。Google发现这一行为后报告给了Mozilla,Mozilla正考虑对CNNIC根证书采取措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google发现并报告了该问题。

Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。

目前 Mozilla正在商讨对CNNIC根证书的处理。

文章转载自 开源中国社区 [http://www.oschina.net]

10、探索TLS证书的演变
raspberrypi5的博客
05-23 2
本文深入分析了TLS证书生态系统的演变,探讨了免费自动化证书颁发机构(CAs)和证书透明度(CT)对证书管理的影响。通过对IPv4扫描和CT日志数据的分析,揭示了有效证书和无效证书的分布、证书颁发机构的变化趋势、主机网络特征以及证书安全机制的演变。同时,文章指出了当前证书生态系统中存在的安全隐患,并提出了应对策略和未来发展趋势,包括证书自动化、加密算法升级以及CT日志的进一步完善。
HTTPS——HTTPS如何加密数据,“证书“为什么可以应对 “中间人攻击
The_emperoor_man的博客
07-23 1428
用图文详细讲解了HTTPS中的对称加密,非对称加密,以及证书应对中间人攻击
Linux网络: HTTPS | 加密 | 中间人攻击 | 安全证书
kimsaul的白给岁月
08-23 546
HTTPS的一些宏观认识:前言、数据指纹、对称加密 | 非对称加密、密钥协商 | 加密通信、中间人攻击、安全证书
我们来一起说说HTTPS中间人***与证书校验
weixin_33717298的博客
03-21 175
一、前言    随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是未校验https证书从而导致“中间人***”,并且由于修复方案也一直是个坑,导致修复这个问题时踩各种坑,故谨以此文简单的介绍相关问题。    本文第一节主要讲述https的握手过程,第二节主要讲述常见的“https中间人***”场景,第三节主要介绍证书校验修复方...
SSL中间人证书攻击测试演练
gold0523的专栏
11-16 1537
SSL中间人攻击事件 这几天,SSL证书欺骗可以说是占尽了风头,打开微博,朋友圈,FreeBuf处处可以见到SSL证书欺骗的资讯文章。 微软账号系统遭遇大规模SSL中间人攻击 国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保 根本停不下来:Yahoo在中国遭遇SSL中间人攻击 …… 先是iCloud,然后又是Yahoo,还有就是前几天的Microsoft。
【HTTPS】中间人攻击证书的验证
Yeeear的博客
09-22 2万+
服务器可以创建出一堆公钥和私钥,黑客也可以按照同样的方式,创建一对公钥和私钥,冒充自己是服务器(pub2pub2pub2keypri2keypub1keypri1keykey。
【HTTPS】采用的加密策略, 什么是中间人攻击? 什么是证书?
yzhcjl_的博客
07-01 1553
HTTPS 仅仅使用对称加密, 无法安全传输 Key, 使用非对称加密即可, 但会有"中间人攻击"风险, 所以引入证书, 通过校验证书能够判断对端是否值得信任, 整个复杂的机制都是为了确保安全的传输Key, 然后才能传输数据
中间CA监视器:监视Mozilla中间CA列表的更新
02-10
中间CA(Certificate Authority)监视器是一种工具或系统,设计用于跟踪和分析Mozilla等浏览器供应商维护的中级证书颁发机构列表的变化。这些中间CA是公钥基础设施(PKI)的重要组成部分,它们在信任链中起着关键...
【进阶】中间人攻击与防御措施
ARP欺骗是一种中间人攻击攻击者通过向网络上的主机发送伪造的ARP回复,冒充另一台主机,从而截取网络流量。攻击者通过发送包含其MAC地址和目标主机IP地址的ARP回复,欺骗网络上的其他主机,使这些主机将网络流量...
【curl与网络安全防护】:防止中间人攻击的下载技巧
[【curl与网络安全防护】:防止中间人攻击的下载技巧](https://img-blog.csdnimg.cn/direct/47f5f58f1eba43a89d1c0b7863315b62.png) # 1. curl命令的简介与网络安全基础 curl是一个广泛使用的命令行工具,用于...
监控Mozilla中间CA更新的存储库
由于信任链的完整性对于HTTPS通信的安全性至关重要,因此及时更新中间CA列表对于防止诸如中间人攻击(Man-In-The-Middle Attack)和证书伪造等问题是必要的。 监视器的描述说明了它的工作机制:每月1日,该工具会...
CNNIC CA:最最最严重安全警告!
army27的专栏
02-03 2101
各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。背景知识网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信
浅析HTTPS中间人攻击证书校验
马万明的专栏
07-01 6603
转载自 http://drops.wooyun.org/tips/17078?ref=myread 浅析HTTPS中间人攻击证书校验 白泽安全团队 · 2016/06/30 16:07 author:白泽安全团队 0x00 引言 随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是
通过伪造CA证书,实现SSL中间人攻击
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5913
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
关于Https安全性问题、双向验证防止中间人攻击问题
热门推荐
Dr的专栏
01-18 2万+
关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。1、Https比Http安全性? 是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说H
发现Mozilla的东西问题出的都很诡异
fuliang
10-28 194
Mozilla的东西文档比较少,并且出现问题都很诡异,在网上能搜出来的答案很少。今天又遇到一个很诡异的问题。在普通的应用程序中使用: nsIWebNavigation webNavigation = (nsIWebNavigation) webBrowser .queryInterface(nsIWebNavigation.NS_IWEBNAVIGATION_IID);...
基于Django的网络设备租赁系统设计与实现-z78dv873【附万字论文+PPT+包部署+录制讲解视频】.zip
最新发布
08-06
基于Django的网络设备租赁系统设计与实现-z78dv873【附万字论文+PPT+包部署+录制讲解视频】.zip
模型过拟合与欠拟合解决方案.doc
08-06
模型过拟合与欠拟合解决方案.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值