解决SSL攻击的方法
作者:williamlong 来源:月光博客 时间:2009-10-06 14:23:00
SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。
因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。
如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。
当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。
名词注释:SSL
安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。
标签:ssl,攻击,安全
0
投稿
猜你喜欢
谷歌下调链接 交换网站页面排名
2007-10-25 23:08:00
RedHat7.2下Apache与Tomcat4整合实例
2010-05-16 18:10:00
如何将名人博客作为有价值的网站内容
2008-05-15 12:10:00
巧妙设置幻灯图片 贴切展示SNS网站个性
2009-04-17 18:47:00
Webmail攻防实战(3)
2007-10-24 13:49:00
淘宝技术发展(引言)
2012-03-05 20:07:29
DNS MX记录一定要放在A记录之前
2007-12-04 10:07:00
新手学堂:Linux操作系统下的软件安装包
2009-09-20 20:23:00
应用技巧:保障WEB服务器安全的三大利器
2009-01-23 17:03:00
windows 2003服务器系统安全权限方案
2008-07-31 17:37:00
百度智能手机输入法v1.0 Beta下载
2009-12-02 11:26:00
警惕 六种情况导致网站难以被搜索引擎收录
2009-02-17 12:51:00
站长必须关注的几个“关键词”
2008-08-13 13:17:00
看猪八戒网史上最牛网站推广用展会来推广网站
2009-05-24 23:08:00
服务器安全升级必须注意的三个细节
2012-02-25 19:41:05
工信部:我国网民达4.04亿 网站数年增12.3%
2010-04-23 14:26:00
在Serv-U中使用SSL证书增强FTP服务器安全性
2010-04-30 22:02:00
关于Linux网络安全的内在限制
2009-09-19 20:03:00
ProFtpd快速指南(三)
2007-09-20 13:50:00
Godaddy虚拟主机的优势
2010-05-07 13:04:00