Mozilla 发现用于中间人攻击的证书

最新推荐文章于 2023-07-23 15:52:23 发布
最新推荐文章于 2023-07-23 15:52:23 发布
阅读量78 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/110941
版权

根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google发现并报告了该问题。

Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。

目前 Mozilla正在商讨对CNNIC根证书的处理。

文章转载自 开源中国社区 [http://www.oschina.net]

weixin_34056162
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
我们来一起说说HTTPS中间人***与证书校验
weixin_33717298的博客
03-21 127
一、前言    随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是未校验https证书从而导致“中间人***”,并且由于修复方案也一直是个坑,导致修复这个问题时踩各种坑,故谨以此文简单的介绍相关问题。    本文第一节主要讲述https的握手过程,第二节主要讲述常见的“https中间人***”场景,第三节主要介绍证书校验修复方...
SSL中间人证书攻击测试演练
gold0523的专栏
11-16 1449
SSL中间人攻击事件 这几天,SSL证书欺骗可以说是占尽了风头,打开微博,朋友圈,FreeBuf处处可以见到SSL证书欺骗的资讯文章。 微软账号系统遭遇大规模SSL中间人攻击 国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保 根本停不下来:Yahoo在中国遭遇SSL中间人攻击 …… 先是iCloud,然后又是Yahoo,还有就是前几天的Microsoft。
Linux网络: HTTPS | 加密 | 中间人攻击 | 安全证书
FamerSaul的博客
08-23 456
HTTPS的一些宏观认识:前言、数据指纹、对称加密 | 非对称加密、密钥协商 | 加密通信、中间人攻击、安全证书
【HTTPS】采用的加密策略, 什么是中间人攻击? 什么是证书?
yzhcjl_的博客
07-01 1252
HTTPS 仅仅使用对称加密, 无法安全传输 Key, 使用非对称加密即可, 但会有"中间人攻击"风险, 所以引入证书, 通过校验证书能够判断对端是否值得信任, 整个复杂的机制都是为了确保安全的传输Key, 然后才能传输数据
HTTPS——HTTPS如何加密数据,“证书“为什么可以应对 “中间人攻击
The_emperoor_man的博客
07-23 1105
用图文详细讲解了HTTPS中的对称加密,非对称加密,以及证书应对中间人攻击
中间CA监视器:监视Mozilla中间CA列表的更新
02-10
中间CA(Certificate Authority)监视器是一种工具或系统,设计用于跟踪和分析Mozilla等浏览器供应商维护的中级证书颁发机构列表的变化。这些中间CA是公钥基础设施(PKI)的重要组成部分,它们在信任链中起着关键...
【进阶】中间人攻击与防御措施
ARP欺骗是一种中间人攻击,攻击者通过向网络上的主机发送伪造的ARP回复,冒充另一台主机,从而截取网络流量。攻击者通过发送包含其MAC地址和目标主机IP地址的ARP回复,欺骗网络上的其他主机,使这些主机将网络流量...
firefox SSL证书导入工具
04-30
在IT行业中,安全是至关重要的一个环节,尤其是在网络通信中。Firefox是一款广受欢迎...正确地使用它,能确保网络通信的安全,防止中间人攻击和其他网络安全威胁。理解和掌握这些知识对于维护网络环境的安全至关重要。
有效期又双叒缩短,SSL证书已经成了“七伤拳”?.pdf
09-18
2. **身份验证**:利用数字签名验证服务器的身份,防止中间人攻击和钓鱼网站,确保用户访问的是真实的网站。 然而,随着SSL证书有效期的缩短,管理工作的复杂性和风险显著增加。安全运维人员需要更频繁地监控和更新...
"深度神经网络检测恶意证书来自可信证书颁发机构
在当前的公钥基础设施中,从颁发欺诈证书到检测到欺诈证书之间存在一个漏洞窗口最近受到攻击的恶意证书在检测和撤销之前已经被信任了长达数周以前关闭这个漏洞窗口的建议需要改变基础设施、互联网协议或最终用户体验...
浅析HTTPS中间人攻击证书校验
马万明的专栏
07-01 6453
转载自 http://drops.wooyun.org/tips/17078?ref=myread 浅析HTTPS中间人攻击证书校验 白泽安全团队 · 2016/06/30 16:07 author:白泽安全团队 0x00 引言 随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是
通过伪造CA证书,实现SSL中间人攻击
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5655
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
关于Https安全性问题、双向验证防止中间人攻击问题
热门推荐
Dr的专栏
01-18 2万+
关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。1、Https比Http安全性? 是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说H
发现Mozilla的东西问题出的都很诡异
fuliang
10-28 158
Mozilla的东西文档比较少,并且出现问题都很诡异,在网上能搜出来的答案很少。今天又遇到一个很诡异的问题。在普通的应用程序中使用: nsIWebNavigation webNavigation = (nsIWebNavigation) webBrowser .queryInterface(nsIWebNavigation.NS_IWEBNAVIGATION_IID);...
监理内业资料和表格使用(83页).doc
最新发布
08-31
监理内业资料和表格使用(83页).doc
SQLAlchemy-2.0.31-cp37-cp37m-win_amd64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
单片机资料c源码数码管动态扫描单片机资料c源码数码管动态扫描
08-31
单片机资料c源码数码管动态扫描单片机资料c源码数码管动态扫描提取方式是百度网盘分享地址
lxml-5.0.0-cp39-cp39-musllinux_1_1_x86_64.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。 安装 你可以通过 pip 安装 lxml:
Mozilla的Rapid Application Development经典指南
此外,还可能涉及如何利用XUL (XUL User Interface Language),它是Mozilla的一种扩展XML语言,用于构建复杂的桌面应用程序。 作为一本专业技术参考书,作者可能提供了实际项目的案例分析,展示了如何将 RAD 方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值