更多互联网新鲜资讯、工作奇淫技巧原创【飞鱼在浪屿】(日更新)
什么是利用可信CA伪造证书。
虽然浏览器可以检测,伪造或伪造SSL证书的恶意网站。但是如果颁发证书的机构被攻击了,通过该机构生成了一些伪造证书,在这种情况下,浏览器不会发现证书有任何问题,因为CA信誉良好,给用户留下了他们正在访问的网站真实可靠且连接安全的印象。
讲得通俗一点就是,举个例子前段时间腾讯和老干妈的事情。腾讯游戏拿着一份盖有老干妈公章的合同,腾讯qq飞车投老干妈的广告。合约期到了老干妈迟迟却不交合同款。原来说是老干妈公章被人伪造了去做坏事。那么这个公章的公信力也就是相当于CA机构。利用公章的公信力去冒牌做坏事,也就是这里的钓鱼网站。
目前尚没有一种简便或有效的方式来实时审核或监视SSL证书,因此,当这些失误(恶意或其他方式)发生时,通常几周甚至几个月都不会检测到可疑证书并将其吊销。而且,这些类型的SSL错误步骤的发生频率越来越高。比如马来西亚下属证书颁发机构(DigiCert Sdn。Bhd。)错误地颁发了22个弱SSL证书,该证书可用于假冒网站和签名恶意软件。结果,主要的浏览器不得不撤回对DigiCert Sdn颁发的所有证书的信任。
检测工具
crt.sh在线网站检测工具。比如下列网址是检测www.qq.com域名没到期但是被吊销的网站。https://crt.sh/?Identity=www.qq.com