有关 SSL 证书的警告,我受到攻击了吗?

有关 SSL 证书的警告,我受到攻击了吗?

最近,我的电脑上收到了很多有关 SSL 认证的警告,Empathy 一直告诉我 Facebook 的证书是自签名的,不可信任,此外,Google-Chrome 中偶尔也会出现有关安全性的警告。我记得最后一个警告说,该页面是安全的,但该页面使用的某些资源不是来自安全连接,诸如此类。

我的电脑是否遭到黑客攻击?如何检查?如果是,如何保护自己?

附言:我想到一件事,我可能遭受了 arp 中毒/欺骗攻击。

答案1

是的,有人在攻击你。查看与你遇到同样问题的人的 Firefox 错误报告:https://bugzilla.mozilla.org/show_bug.cgi?id=460374

答案2

我不认为你受到了攻击。

当谈到信任证书时,必须知道,如果证书由另一个机构的证书/密钥签名,而用于签名的其他机构的证书/密钥已经是可信的,则该证书是可信的。这就是所谓的“信任链”;您可能已经听说过这个术语。

现在,每个链条都需要一个开始。实际上,这意味着例如浏览器里面有一些根证书。这些都是硬编码的,对于每个设法将自己的证书硬编码到浏览器中的公司来说,这都是一座金矿;一会儿,你就会明白为什么。

当浏览器检查网站 A 的证书时,它基本上会执行以下操作:

  • 检查证书是否是根证书之一
  • 如果不是,请检查证书是否由根证书签名
  • 如果不是,请检查该证书是否由根证书签名的证书签名

...等等。我故意简化了情况,部分使用了稍微不正确的术语(实际上,我们讨论的是哈希、私钥和公钥等等),但现在原理应该很清楚了。

关于您的问题:我怀疑您的软件没有这些根证书。您可以使用其他软件轻松测试这一点。例如,在网站上尝试使用 Firefox;如果 Firefox 也显示警告,则可能很危险。

此外,证书通常会过期,人们可能会忘记续订。历史表明,即使是最大的公司也可能会发生这种情况。浏览器和其他软件会因证书过期而发出警告。最后,证书可以被撤销;例如,如果一家犯罪公司设法获得由知名根证书之一签名的证书,例如来自 Verisign 或类似机构的证书,那么一旦该公司的犯罪行为被人知晓,该公司的证书就必须失效。

因此,我的建议是使用其他浏览器进行测试,打开证书并检查不信任的原因 - 任何可靠的软件都会显示它。

至于您的其他警告,这不是一般性建议。可能会发生单个 Web 文档的部分内容是安全的,而其他部分则不是。这是我们必须接受的事实(说明原因远远超出了这篇文章的范围);在这种情况下,问题是您无法轻松找出是广告不安全还是您的信用卡号不安全。

如果我自相矛盾,给你一个一般性的建议:当向网站提供可能被滥用的个人信息时,我会放弃它。这样的错误让你看到一家公司对保护客户个人数据的义务有多么认真。

问候,

比纳鲁斯

相关内容