Quantcast

91大神,夯先生被抓了,勾引百名女性拍A片!

一个25岁的本科绿奴,把自己老婆跟亲妈奉献给住在隔壁的17岁主人

母子乱伦,隐秘而伟大?

女生群最近聊到的意大利吊灯式,到底是个什么样的体位?

妈妈和儿子长期保持性关系?我特么惊呆了!

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

谷歌和赛门铁克对撕,科技巨头背后的信任、权威、恩怨情仇

2017-03-28 谢幺 宅客频道 宅客频道

这几天

一场关乎权威、信任、制裁的大战拉开序幕。

谷歌对撕赛门铁克 

(不了解赛门铁克的请自行谷歌)


两个行业大佬互怼,你猜会发生什么?



---


事情是这样的

 

Google Chrome 说:由于赛门铁克 CA(证书签发机构签发了大量有问题的证书,所以我们将逐步减少对赛门铁克证书的信任


用一个词语来形容就是


封杀!


赛门铁克CA为其他机构颁发证书

谷歌却说他的证书有问题不可信,

这是牵扯到原(da)则(lian)问题了


打个不严谨的比方


一个很有声望的教授经常为学生写推荐信

推荐学生去名牌公司上班


忽然

有个知名的大公司跳出来说

这教授推荐的人不行啊

三观不正 能力不行,

完全是瞎搞


然后列举了许多他胡乱举荐的例子

让教授的公信力瞬间大打折扣

其他公司也不敢要他推荐的学生了


 


谷歌就是这个跳出来的公司

赛门铁克就是写举荐信的教授








要了解其中的利害关系,

还得从 CA证书的原理来说起


我们平时使用浏览器的时候,

经常看到一个绿色小锁 


表明你进入的是真的网站,

而不是伪造的网站,

所有通信都会基于证书来进行加密

 

CA机构给网站颁发证书

(证书签发机构, 简称“CA”)


浏览器来验证证书的真假

它会通过一些加密、哈希算法

验证证书是否有效


 

证书一般分成三类: DV、OV 、和 EV ,加密效果都是一样的,它们的区别在于:(注意了,这是知识点)

 

DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过

 

OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA 通过拨打信息库中公司的电话来确认

 

EV(Extended Validation),URL 地址栏展示了注册公司的信息,这类证书的申请除了以上两个确认外,需要公司提供金融机构的开户许可证,要求十分严格


然后,OV 和 EV 证书相当昂贵

 

于是矛盾来了




CA机构掌握“生杀大权”,

如何颁布证书全凭他说了算,

浏览器只是起到一个验证的角色。


那么,

万一 CA 胡乱颁发证书怎么办?

又或者

如果他们被黑客入侵导致证书泄露

造成了问题怎么办?

 

2011年3月,证书市场份额前列的 Comodo 公司(科摩多)遭黑客入侵,七个Web域共9个数字证书被窃,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。


有人称那次事件为 “ CA版的911攻击。”



同年,荷兰的 CA机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击



这些事件给人们敲响了警钟,结束了人们盲目信任CA的时代,同时也为谷歌之后的一系列动作埋下了伏笔……


对于许多普通用户来说,

一旦网站出现问题,他们只会认为:


浏览器告诉我这个网站是可信的

可是我被黑了

浏览器骗了我

浏览器真垃圾



CA 开心地卖证书赚钱

出了问题浏览器也要背锅

谷歌忍不住了





于是谷歌开始了“找茬”之路……



2013年“棱镜门事件”爆发后,斯诺登泄露的文件中透露:


美国国家安全局就利用一些 CA 颁发的伪造 SSL 证书,截取和破解了大量 HTTPS 加密网络会话。

 

同年,谷歌就发起了证书透明度政策

(Certificate Transparency,简称CT)

(又是知识点啊)


目标是提供一个开放的审计和监控系统

它要求

每个CA公开其颁发的每个数字证书的数据

并将其记录到证书日志中


用户可以随时查询

确保自己的证书是独一无二的

没别人在使用你的证书

或者伪造你的证书


简而言之,

证书透明度能帮助提高上网的安全性


之后的几年里,

证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书,

比如助 facebook 的子域名网站。

 

此后,谷歌一直奔走在“找茬”的路上



 2015年4月,

中国CNNIC数字证书被代理商坑了

谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书,


原因是:埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。


虽然后来调查发现

这事是中国CNNIC授权的证书发布代理商干的

但并没有改变浏览器们的“封杀”决定

 

2015年9月和10月

谷歌和赛门铁克交手

(终于讲到赛门铁克了)


Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书,其中包括 Google 旗下的域名和不存在的域名。


赛门铁克当时的解释是:


那批证书只是一个测试证书,仅测试一天就吊销了。没有泄露出去,没有影响到用户,赛门铁克随后还是炒掉了相关的雇员。


 

然而赛门铁克的做法

并没有改变谷歌的对此事的决策

 

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

 



2016年1月1日 

各大浏览器厂商开始停止接受

SHA-1 算法进行签名的证书

因为不太安全


但是中国的证书机构沃通想了个办法

并将签发时间倒填成2015年12月份

就可以继续使用SHA-1算法签名啦!


但是很快他们就被浏览器厂商发现

并围殴

 

 

  • Mozilla基金会 (火狐)封杀沃通和其旗下StarSSL签发的证书;


  • 苹果将沃通的根证书从证书存储库中移除;


  • Chrome 56 开始,不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书,直到最终完全移除对这两个 CA 的信任!

 



谷歌似乎干得越来越起劲了



2016年10月,

谷歌通过公开邮件组发布公告:

 

2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。

 

“10月份就是Deadline了,CA机构们抓紧时间了”


 






到了2017年1月份

谷歌似乎也发现自己招惹的CA机构越来越多了

于是干脆一不做二不休,

自己来做CA!

 


2017年1月26日,谷歌宣布:为了能够更快速地处理Google 产品的SSL/TLS 的证书需求,谷歌将建立自己的ROOT CA

 

 


谷歌手握全球覆盖率最高的浏览器Chrome

在CAB forum国际标准组织中扮演重要角色

掌握着全球CA机构的生杀大权

拥有不信任任意一家CA根证书的权利

而与此同时自己也掌握着一家CA机构



全球浏览器和CA市场的格局将……





 

 

回到此次谷歌和赛门铁克对撕的事件

上面说到

2015年9月那次

赛门铁克旗下Thawte凭证机构误发证书事件

当时赛门铁克表示误发了23个凭证

但谷歌称最近发现其实总量超过3万个。

 

然后赛门铁克回应

真正证书误发的数量只有 127 个

而不是 Google 声称的错误签发了超过 3 万证书,

谷歌有些夸大其词


23个、127个、3万个……


似乎怎么也对不上号



然而具体的数字对于整体的局势来说

并不重要,

不会改变双方对于证书信任问题的对立关系。


赛门铁克表示,所有大型的 CA 都发生过 SSL / TLS 证书误发的事件,但 Google 却不知为何专门把赛门铁克挑出来。



Mozilla基金会(火狐) 最近也在考虑对赛门铁克进行制裁,

并可能和 Google 的行动保持一致。



很明显,

在CA这件事上,

谷歌背后是众多浏览器供应商,

赛门铁克的背后是众多CA机构


只要信任、安全的问题依然存在,这一系列的争端、对立未来也必将将延续下去。

但无论如何,证书加密算法更迭、机制更加透明……这些事情一直在发生,谷歌、Mozilla等浏览器搞起来这些事情,浏览器和CA互怼,最终普通用户将是受益的一方……


继续围观……



以上内容全是谢幺的胡说八道,如有雷同,帮我举报一下。


- End -



戳关键词查看更多内容


读懂黑客


吴石:站在0和1之间的男人 

TK教主和玄武实验室的几个小故事

黑客老王:一个人的黑客史

道哥:重回阿里的29个月

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

“特斯拉破解第一人”刘健皓 

让周鸿祎“三顾茅庐” 的 黑客 MJ 

黑客段子手“呆子不开口” 

美女黑客张婉桥的“爱丽丝奇遇记”

把老婆训练成女黑客的漏洞大神黄正

苦读18年,他却改行当黑客

……


发现真相


1500 元买通话记录和实时定位!安全专家匿名解析

中学教材现黄色网站,人教社回应遭网友质疑 

Only_guest 亲述的三个非主流诈骗故事

剪刀手拍照会被盗指纹,究竟要多近才可以?

有个网站叫能让你看到朋友的种子下载历史!

草榴社区这类色情网站为什么封不掉 | 老司机必看

最新盗窃手法:ETC里的钱被POS机隔空刷光

纯干货,如何中间人攻击攻破所有短信验证 ?


大会报道


RSA 2017专题 | 创新沙盒冠军 Unify ID 是何方神圣?

SyScan360 专题 | 黑客讲述 我如何一边搭飞机一边抢银行

PwnFest 专题 | 世界最强黑客组合演绎五秒干掉 Mac

Black Hat 专题 | 黑客现场催吐ATM机,15分钟5万美金


探索好奇


暗网 | 刷票 | 心脏滴血 | 人肉 | 网络勒索 | 草榴社区 | 反欺诈

威胁情报 | 撞库攻击 | 以图搜图信息泄露 | iOS 漏洞 | 

锤子手机破解 | Wordpress 漏洞 | 网络欺骗


更多精彩正在整理中……


“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


Views
Loading

文章有问题?点此查看未经处理的缓存