V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
neilp
V2EX  ›  问与答

chrome 现在想从地址栏查看到证书信息, 要比以前多点几次鼠标了. 这样真的好吗

  •  
  •   neilp · 2016-05-22 17:33:44 +08:00 · 3118 次点击
    这是一个创建于 3094 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一般比较重要的网站, 我不光要看是 绿色 https 的, 还会顺手点开看一下证书信息, 核对一下证书的签发者和其他信息. 一来 是 安全强迫症. 而来是防止被未授权的 ca 进行中间人攻击.
    比如访问谷歌网站, 我就只信任 谷歌 ca 签发的证书, 如果发现其他的 ca 签出的谷歌证书, 一般就有问题了. 虽然我自己还没有亲自发现过. 不过请参考 上次 cnnic 事件.

    最近, chrome 的新版本, 要想查看到证书的信息, 多点了两级.

    不理解谷歌为什么要把证书藏起来. 可能是因为很多人不关心证书本身的安全性.

    大家怎么看.
    第 1 条附言  ·  2016-05-23 09:16:50 +08:00
    @VmuTargh HPKP Preload 完全没有普及开, 国内就更不用说了。

    @yeyeye 直接远程攻击 https 目前来看依然比较困难,需要劫持你的 ip 流量, 还要能伪造证书。 但是整个公钥体系中最薄弱的环节: 根证书, 正在受到越来越多的攻击。 举个例子, 淘宝, 阿里巴巴, 12306 等都会在你的电脑上安装自己的全功能根证书。 其中, 淘宝, 阿里巴巴都是静默安装, 连提示都没有。 目前没有证据表明它们进行了中间人攻击, 但是这在技术上确实是可行的。 再胡说一个例子, 某安全公司( x 管家, x 卫士), 完全有技术能力在你不知情的情况下劫持你。 这些例子是纯技术可能性分析,无证据,纯胡说,不负责任。(没有 1000 w )。
    随着 https 的普及, 今后针对 ca 的攻击必将成为趋势。 说不定你在网上下载了个什么游戏之类的, 然后就被安装了根证书。 然后你就“中了 500 万”。 一夜之间发现银行卡清 0 ,一无所有。 到时候你是去彩票中心领奖呢,还是去报案。
    8 条回复    2016-05-22 18:30:14 +08:00
    yexm0
        1
    yexm0  
       2016-05-22 17:35:17 +08:00 via Android
    其他 ca 帮谷歌签发证书的话 chrome 不会报警?
    shiny
        2
    shiny  
       2016-05-22 17:39:31 +08:00 via iPhone
    Google 自己可以检测到擅自签发的证书吧。
    neilp
        3
    neilp  
    OP
       2016-05-22 18:21:35 +08:00
    @yexm0 我不是说谷歌一个网站, 只是举个例子.

    如果别的网站被 中间人了, 怎么办
    neilp
        4
    neilp  
    OP
       2016-05-22 18:22:40 +08:00
    @shiny 谷歌只是一个例子而已, 其他的网站怎么办.
    yeyeye
        5
    yeyeye  
       2016-05-22 18:27:14 +08:00
    HTTPS 被中间人攻击的几率 或许比你中五百万的几率要低 所以…… 不如先买一张彩票吧……

    当然啦,如果你的电脑别人也有权限的话……当我没说
    lslqtz
        6
    lslqtz  
       2016-05-22 18:27:57 +08:00
    我就是想看 因此保留着 49 最后一个版本 64 位的安装包。
    VmuTargh
        7
    VmuTargh  
       2016-05-22 18:29:50 +08:00
    @neilp 谷歌自带 HPKP Preloaded ,有错误丫直接不给访问了
    lslqtz
        8
    lslqtz  
       2016-05-22 18:30:13 +08:00
    我也反馈过。人不鸟我。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2988 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.