V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liuidetmks
V2EX  ›  信息安全

怪事,一部分用户的证书不对?

  •  
  •   liuidetmks · 2021-06-02 10:33:50 +08:00 · 3295 次点击
    这是一个创建于 1303 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近发现有一些用户请求网络异常
    根据上传的 log,他们请求的证书 VeriSign Class 3 Public Primary Certification Authority - G5
    sha1:a546086a79aee93637e1e81d68b46d24439e7826
    而且只获取到这一个证书,并不是一个证书链,正常情况下,比如 Charles,你设置一个证书 A
    他会根据这个证书签发一个和访问域名对应的证书下发
    A -> *.yourdomain.com

    去 digicert 发现 sha1 也对不上。

    Subject DN: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
    Operational Start Date: Nov 8 00:00:00 2006 GMT
    Operational End Date: Jul 16 23:59:59 2036 GMT
    Key Size: 2048 bit
    Signature Algorithm: sha1WithRSAEncryption
    Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
    SHA-1 Thumbprint: 4E B6 D5 78 49 9B 1C CF 5F 58 1E AD 56 BE 3D 9B 67 44 A5 E5
    Hierarchy: Public TLS / SSL, CodeSigning, Client Auth/Email
    Root Download Link: https://www.websecurity.digicert.com/content/dam/websitesecurity/digitalassets/desktop/pdfs/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem
    

    而且这些用户 ip 全国都有,应该不是一个个例,巧合他们的 sha1 都是这个吗?
    还是他们用的同一款抓包软件?

    根据这个 sha1 也搜不到任何内容
    google 结果

    8 条回复    2021-06-02 16:13:50 +08:00
    AoEiuV020
        1
    AoEiuV020  
       2021-06-02 10:45:26 +08:00
    不明觉厉,用户证书?
    说到证书链的话,我记得确实有些服务器只配置一个证书而不是证书链,导致普通浏览器正确访问,但部分浏览器或者其他什么比如 curl 就获取不到证书链造成错误,
    liuidetmks
        2
    liuidetmks  
    OP
       2021-06-02 10:59:12 +08:00
    @AoEiuV020 服务器显然不是你说的这种情况,而且即使是这样配的话,也应该是配置一个自己的域名证书吧。实在想不通为什么会出现这种情况,好在用户量不大,一个小时 1 个人有这种问题
    ruixue
        3
    ruixue  
       2021-06-02 10:59:50 +08:00   ❤️ 2
    liuidetmks
        4
    liuidetmks  
    OP
       2021-06-02 11:13:15 +08:00
    @ruixue 谢谢,您太牛了,这个都搜到了。
    全国范围不同人都使用这个假证书, 看来应该是某个软件内置了这个证书
    wipbssldo
        5
    wipbssldo  
       2021-06-02 11:35:36 +08:00
    你们是什么 Web 吗?为什么别人软件里面内置的证书可以访问到你们服务器?
    Rheinmetal
        6
    Rheinmetal  
       2021-06-02 11:58:07 +08:00
    @liuidetmks bot net 的可能性也不小
    arrow629
        7
    arrow629  
       2021-06-02 12:44:44 +08:00 via Android
    看着像以前深信服的 AC 行为管理的 ssl 默认根证书,可以问一下他们是不是用公司网络请求你的,不过只有一个根证书确实也很奇怪,这样不会报证书错误吗
    liuidetmks
        8
    liuidetmks  
    OP
       2021-06-02 16:13:50 +08:00
    @Rheinmetal 应该不至于,是 iOS 用户,未越狱,应该是像 7 楼说的,用的公司网络。
    @arrow629 确实有一些用户,使用的公司网络。我在想这种情况是不是应该提示用户使用移动网络。不过使用这类网络的公司也应该禁止了用户用自己 4G 吧。(猜的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5647 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 03:10 · PVG 11:10 · LAX 19:10 · JFK 22:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.