解決SSL攻擊的方法

  SSL的竊聽和安全最近頗受關注,吳洪聲提出了一種SSL竊聽攻擊的思路,主要是利用了CA簽發證書的一個重大缺陷:只驗證目標網站的域名信箱即可簽發該網站的證書,因此,只要搞到目標網站的一個信箱,就可以竊取到這個域名的SSL證書。

  因此,大多數免費郵箱或公司郵箱的SSL證書都存在網站SSL證書被竊取的可能性,Gmail由於使用mail.google.com而不是www.gmail.com,因此得以倖免於難。然而,有權使用google.com的Google公司的員工依然有可能獲取google.com的SSL證書,一旦該證書被用於大規模的域名劫持,後果不堪設想。

  如果想要避免這種SSL證書竊取,CA需要修改目前的簽發流程,即在簽發前需要驗證申請者對於該網站具有管理權限,例如,在網站的首頁增加一小段隱藏代碼,或者在網站上傳一個指定的HTML文件,這樣,只有真正的網站擁有者才能做這樣的操作,非法竊取者即使有了該域名的郵件,也無法獲取該域名的證書。

  當然,從根本上講,這個攻擊並非對SSL安全協議本身的攻擊,只是對其發行機構的攻擊,SSL協議目前來說還是安全可靠的。

  名詞註釋:SSL

  安全套接字層(Secure Sockets Layer,SSL) 是一套提供身份驗證、保密性和數據完整性的加密技術。 SSL 最常用來在Web 瀏覽器和Web 服務器之間建立安全通信通道,用以保障在Internet 上數據傳輸之安全,SSL 利用數據加密技術,確保數據在網絡上之傳輸過程中不會被截取及竊聽,它也可以在客戶端應用程序和Web 服務之間使用。

特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,文章转自月光博客

Comments are closed.