蓝点网
给你感兴趣的内容

中国电信疑似替换网站自签名证书进行劫持

基于安全问题越来越多的网站开始部署HTTPS加密连接,但并不是所有人都希望基于安全性考虑部署HTTPS。

例如在各地运营商普遍会在用户访问时进行劫持并投放广告, 但若网站使用HTTPS加密连接则无法进行劫持。

原因在于运营商如果劫持 HTTPS 连接那么需伪造SSL证书,这种情况下浏览器会发出警告提醒用户不要访问。

但如果你的网站或是应用使用自签名证书的话, 那么可能要注意已经有运营商开始伪造自签名证书进行劫持。

中国电信劫持自签名证书:

昨天有微博网友声称自己的网站使用的自签名证书在部分地区使用电信访问时会被替换成其他的自签名证书。

讽刺的是原自签名证书使用的是SHA256算法而运营商劫持时替换掉的自签名证书算法使用的是过时的SHA1。

事实上 SHA-1 证书因安全性问题早在去年全球所有证书颁发机构都已经停止签发基于SHA-1算法的SSL证书。

也正是自签名的缘故运营商才敢明目张胆的直接签发基于该算法的证书,用来劫持用户访问HTTPS加密网站。

如上图:左侧为网站原本使用的基于SHA256算法的自签名证书, 右侧为运营商替换后的基于SHA1的证书。

为什么运营商敢劫持自签名网站?

就目前来看国内虽然运营商劫持普遍但从未见过有劫持 HTTPS 网站的先例,尤其是使用受信CA签发的证书。

原因在于运营商如果敢劫持这类受信证书的话那么用户浏览器立刻发出警告提醒使用者不要再访问这个网站。

但是使用自签名证书的网站就不同了,本身用户访问这个网站时浏览器依然会发出警告提醒用户证书不受信。

因此运营商劫持并替换了自签名证书后在用户访问时,并没有和使用原自签名证书访问时的区别即都是警告。

所以无论是用户访问还是网站管理员访问几乎不可能发现问题,这也可以说是这种类型劫持最大的危害之一。

但该网站的管理员是如何发现被替换证书并劫持的呢?原来该网站的软件本身会对证书的指纹信息进行验证。

由于运营商伪造证书指纹信息与网站原自签名证书的指纹信息不同,因此管理员才发现了运营商的这个勾当。

直接危害:

无论是受信的证书颁发机构签发的证书还是网站自签名的证书,凡是被劫持意味着运营商可以监听所有内容。

以上述网站为例用户在访问该游戏网站时诸如账号以及密码等信息,运营商系统里都是可以看到具体的内容。

这意味着即使用HTTPS加密也并没有保证我们信息的安全,而这对于普遍劫持的运营商来说似乎并没有什么。

企业安全提醒:

我们应该感谢这位网友发现的这个问题,不然至今我们依然还在认为运营商不会劫持使用HTTPS加密的网站

事实上使用自签名的网站数量并不少,尤其是集中在很多企业内部网络例如OA系统、邮件及内部服务器连接。

当你的公司使用自签名进行加密连接认为很安全时, 熟不知运营商可能已经动了手脚悄悄替换证书进行监听。

应对方案(缓解):

为了应对这种情况建议所有网站不论自签名网站还是受信SSL证书网站都应该尽快评估并部署HTTP公钥扎钉。

目前如Mozilla Firefox和Google Chrome浏览器都已经支持HTTP公钥扎钉,即访问时还会校验证书一致性。

即使证书被替换成其他的受信证书, 浏览器校验当前证书与服务器签发的证书不一致时依然还是会发出警告。

有关HTTP公钥扎钉的详细信息请访问维基百科:HTTP 公钥固定(又称HTTP公钥扎钉、英文缩写为HPKP)

转载请注明蓝点网 » 中国电信疑似替换网站自签名证书进行劫持
分享到:
除非特别注明否则下列评论均不代表本站观点

评论 13

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3
    Google Chrome 58.0.3029.81 Google Chrome 58.0.3029.81 Windows 7 x64 Edition Windows 7 x64 Edition

    明年的315能上晚会吗?这种垄断企业做这种尿性的事,就没有一个机构能监管的. 这跟那个伪造SSL证书有什么区别

    yvesyc3个月前 (04-26)回复
  2. #2
    Firefox 52.0 Firefox 52.0 Windows 10 x64 Edition Windows 10 x64 Edition

    他喵这居然是岛风GO被黑?!?!?

    舰队_依克希尔3个月前 (04-25)回复
    • Google Chrome 58.0.3029.81 Google Chrome 58.0.3029.81 Windows 10 x64 Edition Windows 10 x64 Edition

      嗯哼。。。是的。。

      山外的鸭子哥3个月前 (04-25)回复
      • Firefox 52.0 Firefox 52.0 Windows 10 x64 Edition Windows 10 x64 Edition

        电信也真是的

        舰队_依克希尔3个月前 (04-25)回复
  3. #1
    Google Chrome 51.0.2704.63 Google Chrome 51.0.2704.63 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥,我家IP整个省都漂过 能不能投诉让IP固定?

    aaaa3个月前 (04-25)回复
    • Google Chrome 58.0.3029.81 Google Chrome 58.0.3029.81 Windows 10 x64 Edition Windows 10 x64 Edition

      这个没戏。。是不是移动的

      山外的鸭子哥3个月前 (04-25)回复
      • Google Chrome 51.0.2704.63 Google Chrome 51.0.2704.63 Windows 10 x64 Edition Windows 10 x64 Edition

        电信,还有一个很奇怪 原本是20兆的宽带 给提速到50兆 但是 现在是100兆的速度 去查套餐也是50兆 用迅雷快鸟显示也是50兆

        aaaa3个月前 (04-25)回复
        • Google Chrome 58.0.3029.81 Google Chrome 58.0.3029.81 Windows 10 x64 Edition Windows 10 x64 Edition

          系统里显示的是50自然快鸟查到的也是50…不过确实这样。。我这也是 20提到50 现在提到100了

          山外的鸭子哥3个月前 (04-25)回复
          • Google Chrome 57.0.2987.98 Google Chrome 57.0.2987.98 Windows 10 x64 Edition Windows 10 x64 Edition

            我家50M宽带,现在已经给提到200M了。

            kalen24823个月前 (04-26)
          • Google Chrome 58.0.3029.81 Google Chrome 58.0.3029.81 Windows 10 x64 Edition Windows 10 x64 Edition

            6的飞起

            山外的鸭子哥3个月前 (04-26)
        • Google Chrome 57.0.2987.133 Google Chrome 57.0.2987.133 Windows 10 x64 Edition Windows 10 x64 Edition

          提速不好吗……总比降速的好……我这去年还是上下行200M,过完年缩到20M,上个月开始缩的只有8M了……

          冷然3个月前 (04-27)回复
          • Google Chrome 58.0.3029.83 Google Chrome 58.0.3029.83 Android 6.0.1 Android 6.0.1

            提速好,但是提速之前至少可以把IP稳到本地,现在是除了本地哪里都飘过

            aaaaa3个月前 (04-27)