V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
thedog
V2EX  ›  SSL

如果运营商想要破解 https,能做到吗

  •  
  •   thedog · 2017-03-10 14:16:22 +08:00 · 8318 次点击
    这是一个创建于 2807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    运营商如果使用中间人攻击之类的技术,可以成功破解 https 并且不让用户发现吗?

    33 条回复    2018-08-09 10:41:02 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2017-03-10 14:25:16 +08:00
    如果说中间人攻击技术的话..劫持一些不带 ssl 软件的自动更新,更新个带马的包下来.算不算
    gamexg
        2
    gamexg  
       2017-03-10 14:33:29 +08:00   ❤️ 1
    配合 12306 、银行之类的可以做到。
    但是很大可能被浏览器厂家揪出来。
    xiaopc
        3
    xiaopc  
       2017-03-10 14:37:50 +08:00 via Android
    “破解“ HTTPS 运营商还是做不到的。
    但是
    什么用户?钓鱼链接都信的用户还是黑阔级的用户?
    客户端是证书合法性都不校验的某些应用还是支持 hsts preload 的浏览器?
    Aliencn
        4
    Aliencn  
       2017-03-10 15:04:05 +08:00
    如果你信任了运营商的证书的话,理论上就能被他“破解”你所有的 https 访问了
    thedog
        5
    thedog  
    OP
       2017-03-10 15:09:00 +08:00
    如果运营商自己也申请一个合法的 https 证书呢
    cevincheung
        6
    cevincheung  
       2017-03-10 15:11:19 +08:00
    @thedog #5 看谁签发啊。还记得 CNNIC 被 google chrome 拉黑么?
    thedog
        7
    thedog  
    OP
       2017-03-10 15:14:57 +08:00
    @cevincheung 我对证书签发不是很了解,这个证书不是声称自己要办理网站,或者付费就能够申请的吗?
    tabris17
        8
    tabris17  
       2017-03-10 15:17:07 +08:00
    只要 CNNIC 的根证书在你浏览器里,就可以
    RobertYang
        9
    RobertYang  
       2017-03-10 15:19:25 +08:00 via Android   ❤️ 1
    @thedog 如果你要申请证书并且被浏览器信任,那么你申请证书的地方( CA )是被浏览器信任的,你申请证书的域名必须证明是自己的。 CA 发假证书也是有的,但是被发现了直接会被整个拉黑掉,可以看 CNNIC 的非法签发谷歌证书的事,导致现在 CNNIC 自己的网站都是使用的别家的证书 。
    cevincheung
        10
    cevincheung  
       2017-03-10 15:20:25 +08:00   ❤️ 1
    @thedog #7

    你现在去一个证书厂商申请 v2ex.com 的证书,是不会被通过的。需要验证域名所有权。当然这只是一般的 DV 证书( Domain Validation )企业级证书是需要进行企业资质的验证的,更严格的还要签合同。

    SSL 只是一种技术上的保障。但是需要证书厂商的安全工作做到位。如果你可以随意申请任何一个域名的 SSL 证书,那 HTTPS 和 HTTP 就没有任何区别了。
    RqPS6rhmP3Nyn3Tm
        11
    RqPS6rhmP3Nyn3Tm  
       2017-03-10 15:20:35 +08:00 via iPhone   ❤️ 1
    @thedog 你说的是根证书,不会给运营商的,一个 ca 价值可以上千万
    lshero
        12
    lshero  
       2017-03-10 15:24:57 +08:00
    冒那么大风险破解 HTTPS ?
    一个“星空极速” “宽带我世界”客户端分分钟焦作人
    thedog
        13
    thedog  
    OP
       2017-03-10 15:32:24 +08:00
    @cevincheung @RobertYang @Aliencn @BXIA @lshero @tabris17 @gamexg 非常感谢,了解了
    whileFalse
        14
    whileFalse  
       2017-03-10 15:34:19 +08:00
    @lshero 那是什么
    RobertYang
        15
    RobertYang  
       2017-03-10 15:44:38 +08:00 via Android
    @whileFalse 拨号客户端。。。校园网用户应该都是受害者
    whileFalse
        16
    whileFalse  
       2017-03-10 15:46:11 +08:00
    @RobertYang 那他和 https 有什么关系呢?
    lshero
        17
    lshero  
       2017-03-10 16:15:55 +08:00
    @whileFalse 都装到客户端了传输过程中再怎么加密也没有用啊。就和浏览器乱装插件 https 的页面里依旧可以植入小广告一样
    whileFalse
        18
    whileFalse  
       2017-03-10 16:17:32 +08:00
    @lshero 这个客户端会往系统里插入根证书吗?
    另外 Firefox 不依赖系统根证书。
    xia0pia0
        19
    xia0pia0  
       2017-03-10 16:21:09 +08:00
    看谁签的吧,国内签的有问题,不代表国外签的也没问题。就好比以前还有 sha1 加密的 SSL 证书呢,安全应该是相对的。如果运营商在 CIA 培训过,我认为能。
    lshero
        20
    lshero  
       2017-03-10 16:24:39 +08:00
    @whileFalse 目前看来对于公众服务的拨号客户端没有这样的历史,不代表没有这样的能力。而且客户端除了校园网外基本已经都被淘汰了,所以没必要有这样的担心。
    一些杀毒软件采用了插入证书的方式来扫描 https 的安全 http://tieba.baidu.com/p/3492953883
    ferock
        21
    ferock  
       2017-03-10 16:33:51 +08:00
    楼上真是想象力丰富
    sunsol
        22
    sunsol  
       2017-03-10 16:39:03 +08:00
    那么多用 360 浏览器的,根本用不着从网络下手。
    bumz
        23
    bumz  
       2017-03-10 17:49:20 +08:00
    运营商仅靠自己的力量就能破 TLS 的话, TLS 就作废了

    当然神一样的对手不如猪一样的队友

    几乎每个人的电脑里都安装了一些猪一样的队友
    Ouyangan
        24
    Ouyangan  
       2017-03-10 18:42:39 +08:00
    等量子计算机普及..
    winterbells
        25
    winterbells  
       2017-03-10 19:29:31 +08:00
    运营商没这精力吧。。。。
    如果有人非要这么做的话,不如直接查水表来的快
    jiangzhuo
        26
    jiangzhuo  
       2017-03-10 19:31:55 +08:00
    那么多浏览器,那么多插件,犯不着从 https 上下手。
    tSQghkfhTtQt9mtd
        27
    tSQghkfhTtQt9mtd  
       2017-03-10 19:51:44 +08:00 via Android
    @Aliencn 不一定,应用了 HPKP 技术的站点可以防
    j8sec
        28
    j8sec  
       2017-03-11 20:17:45 +08:00 via iPhone
    能啊 很多运营商都被 webtrust 审计过了
    namebus
        29
    namebus  
       2017-03-12 18:08:04 +08:00
    楼主说的运营商破解,实际就是指的从可信的层面,这是完全不可能(想都不要想),也没有哪家 CA 敢签发这个属于中间人攻击的证书,看看 CNNIC 和 WoSign 两家的下场就知道了,只要你偷偷干了坏事,太容易被发现,而且一但发现,后果都是最严重的那种。
    Hardrain
        30
    Hardrain  
       2017-03-15 10:37:26 +08:00
    1.配合 12306 ,让他们用 SRCA 签假证书来 MITM ——估计很多人会中招
    2.运营商想尽办法令用户无法使用路由器,要求在电脑上安装软件(校园网?), 这个软件向系统插入自己的根证书,然后 MITM ——很多用户会忽略 UAC ,甚至将其关闭
    3.Logjam 或 FREAK 攻击,不过应该没有什么 Client 还支持 export cipher 或者是<1024-bit 的 DH 密钥交换——不太可行
    Hardrain
        31
    Hardrain  
       2017-03-15 10:39:35 +08:00
    另:
    如果网站使用 HPKP ,且 Client 已经和网站建立过安全的连接,上述 1 和 2 恐怕就无法实施了
    而如果是第一次连接时 ISP 就想要嗅探,那 HPKP 也没有用了,毕竟没有 HPKP Preload.
    yryz
        32
    yryz  
       2017-03-16 18:44:19 +08:00
    如果是这样的 SSL 配置,再强大的证书也无法保证安全
    https://myssl.com/mail.scmc.com.cn
    e8c47a0d
        33
    e8c47a0d  
       2018-08-09 10:41:02 +08:00
    如果只是中间人攻击的话,你的客户端会提示证书错误的。
    如果是暴破的话,除非 SSL 很弱,否则几乎不可能的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 05:48 · PVG 13:48 · LAX 21:48 · JFK 00:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.