首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zscself
V2EX  ›  问与答

是不是只要把服务器证书和私钥拿到手,就可以进行中间人攻击了?

  •   
  •   zscself · 2016 年 12 月 13 日 · 2118 次点击
    这是一个创建于 3335 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比方说国家队通过特殊手段把我的 DNS 解析给改了,然后拿到了服务器证书( ssl_certificate )和服务器私钥( ssl_certificate_key ),是不是就可以伪造这台服务器了?

  • 私钥
  • 服务器
  • 证书
  • DNS
    8 条回复    2016-12-13 21:47:39 +08:00
    yangff
        1
    yangff  
       2016 年 12 月 13 日
    那 TM 就不是中间人攻击了

    你就是第二人了
    xfspace
        2
    xfspace  
       2016 年 12 月 13 日 via Android
    劫你 DNS ,劫持者自己做个新的证书,算 MITM 。
    证书是公开的。
    证书私钥除了自己主动公开(包含被黑),别人都不会拿到私钥。
    Hanxv
        3
    Hanxv  
       2016 年 12 月 13 日 via Android
    舉例

    wosgin 簽了一個 github.com 的證書。
    通過 dns 污染使用戶訪問登錄 github 跑到某個服務器
    我的證書是可信的呀…你不仔細看……就…

    拿到了你的私匙。
    通過 dns 污染使用戶訪問登錄 github 跑到某個服務器
    直接解密咯…

    普通的中間人攻擊,( 啥都沒有…
    用戶訪問的時候,遊覽器就會提示了…( ie 這貨…我不清楚提不提示
    zscself
        4
    zscself  
    OP
       2016 年 12 月 13 日
    @yangff 怎么叫第二人?
    @Hanxv 也对哈,都有私钥了,直接都可以直接解密流量了,连伪造服务器都不需要了。非法证书比无效证书隐蔽, Certificate Transparency 就可以防范你说的这种情况。
    @xfspace 私钥不就在服务器上放着吗,那不是很危险吗?只要一台服务器被攻陷了,是不是私钥就彻底废了?那比较大的公司是怎么防范的?
    xfspace
        5
    xfspace  
       2016 年 12 月 13 日 via Android
    @zscself 堡垒机。蜜罐。私钥一般都不放在裸露互联网的服务器...
    t6attack
        6
    t6attack  
       2016 年 12 月 13 日
    其实比较大的公司。。。防范的并不有效
    billlee
        7
    billlee  
       2016 年 12 月 13 日
    @zscself 有私钥不一定可以解密流量。在使用 forward secrecy 的情况下,要私钥 + MITM 才能解密流量。
    t6attack
        8
    t6attack  
       2016 年 12 月 13 日
    安全是相对的。要搞清防范目标是谁。
    对乱插数据的地方运营商、搜集密码的民间小黑客、不怀好意的基础设施网管, https 是相当有效的。
    对以商业为目的大公司来讲,防住他们就够了。剩下的对手属于“可选”。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   883 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 428ms · UTC 21:37 · PVG 05:37 · LAX 13:37 · JFK 16:37
    ♥ Do have faith in what you're doing.