微慑信息网

中国电信被怀疑替换用户的自签名证书

HTTPS 网站利用浏览器信任的证书确保用户浏览器与网站服务器之间建立安全连接,防止被网络中间人监听。但如果网站使用自签名证书,那么访问这些网站的用户需要在浏览器添加例外或安装根证书(如火车票网站 12306),这就留下了极大的安全隐患。

一位提供游戏网络加速服务的用户在微博上报告,中国电信悄悄替换了其自签名证书。“ 为何有的地区访问我的 HTTPS 网站,获得的证书并不是我签发的。”

“你们很聪明,只替换掉自签发的证书,因为自签发证书浏览器本来就有警告加上大部分信息都一样,神不知鬼不觉,用户很难发现自己的 HTTPS 访问被监听了,要不是我的软件对证书指纹有验证根本不会发现这问题 。” 原证书是 RSA-2048,伪造的证书是 RSA-1024。

中国电信客服表示可以“ 协调处理 ”。

稿源:solidot奇客;封面源自网络

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 中国电信被怀疑替换用户的自签名证书

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册