当我尝试安装 SSL 证书时,我深入研究了 Chrome 设置并查看了已安装的证书(服务器选项卡)。
这些被标记为不安全,它们与 mail.google.com、login.skype.com、login.live.com、addons.mozilla.org 和其他一些网站相关,位于名为“Google Ldt.”的文件夹中。
例如,
-----BEGIN CERTIFICATE-----
MIIF7jCCBNagAwIBAgIQBH7L6fylX3vQnq424QyuHjANBgkqhkiG9w0BAQUFADCB
lzELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAlVUMRcwFQYDVQQHEw5TYWx0IExha2Ug
Q2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMSEwHwYDVQQLExho
dHRwOi8vd3d3LnVzZXJ0cnVzdC5jb20xHzAdBgNVBAMTFlVUTi1VU0VSRmlyc3Qt
SGFyZHdhcmUwHhcNMTEwMzE1MDAwMDAwWhcNMTQwMzE0MjM1OTU5WjCB3zELMAkG
A1UEBhMCVVMxDjAMBgNVBBETBTM4NDc3MRAwDgYDVQQIEwdGbG9yaWRhMRAwDgYD
VQQHEwdFbmdsaXNoMRcwFQYDVQQJEw5TZWEgVmlsbGFnZSAxMDEUMBIGA1UEChML
R29vZ2xlIEx0ZC4xEzARBgNVBAsTClRlY2ggRGVwdC4xKDAmBgNVBAsTH0hvc3Rl
ZCBieSBHVEkgR3JvdXAgQ29ycG9yYXRpb24xFDASBgNVBAsTC1BsYXRpbnVtU1NM
MRgwFgYDVQQDEw9tYWlsLmdvb2dsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCwc/DyBO7CokbKNCqqu2Aj0RF2Hx860GWDTppFqENwhXbwH4cA
Ah9uOxcXxLXpGUaikiWNYiq0YzAfuYX4NeEWWnZJzFBIUzlZidaEAvua7BvHUdV2
lZDUOiq4pt4CTQb7ze2lRkFfVXTl7H5A3FCcteQ1XR5oIPjp3qNqKL9B0qGz4iWN
DBvKPZMMGK7fxbz9vIK6aADXFjJxn2W1EdpoWdCmV2Qbyf6Y5fWlZerh2+70s52z
juqHrhbSHqB8fGk/KRaFAVOnbPFgq92i/CVH1DLREt33SBLg/Jyid5jpiZm4+Djx
jAbCeiM2bZudzTDIxzQXHrt9Qsir5xUW9nO1AgMBAAGjggHqMIIB5jAfBgNVHSME
GDAWgBShcl8mGyiYQ5VdBzfVhZadS9LDRTAdBgNVHQ4EFgQUGCqiyNR6P3utBIu9
b54QRhN4cZ0wDgYDVR0PAQH/BAQDAgWgMAwGA1UdEwEB/wQCMAAwHQYDVR0lBBYw
FAYIKwYBBQUHAwEGCCsGAQUFBwMCMEYGA1UdIAQ/MD0wOwYMKwYBBAGyMQECAQME
MCswKQYIKwYBBQUHAgEWHWh0dHBzOi8vc2VjdXJlLmNvbW9kby5jb20vQ1BTMHsG
A1UdHwR0MHIwOKA2oDSGMmh0dHA6Ly9jcmwuY29tb2RvY2EuY29tL1VUTi1VU0VS
Rmlyc3QtSGFyZHdhcmUuY3JsMDagNKAyhjBodHRwOi8vY3JsLmNvbW9kby5uZXQv
VVROLVVTRVJGaXJzdC1IYXJkd2FyZS5jcmwwcQYIKwYBBQUHAQEEZTBjMDsGCCsG
AQUFBzAChi9odHRwOi8vY3J0LmNvbW9kb2NhLmNvbS9VVE5BZGRUcnVzdFNlcnZl
ckNBLmNydDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2RvY2EuY29tMC8G
A1UdEQQoMCaCD21haWwuZ29vZ2xlLmNvbYITd3d3Lm1haWwuZ29vZ2xlLmNvbTAN
BgkqhkiG9w0BAQUFAAOCAQEAZwYICifFk24C8t4XP9DTG3z/tc16x3fHvt8Syhne
sBNXDAORxHlSz3+3XlUghEnd9dApLw4E2lmeDhOf9MAym/+hESQql6PyPz0qa6it
jBl1lQ4dJf1PxHoVwx3HE0DIDb6XYHKm/iW+j+zVpobDIVxZUtlqC1yfS961+ezi
9MXMYlN2iWXkKdq3v5bgYI0NtwlV1kBVHcHyliF1r4mGH12BlykoHinXlsEgAzJ7
ADtqNxdao7MabzI7bvGjXaurzCrLMAwfNSOLaURc6qwoYO2ra2Oe9pK8vZpaJkzF
mLgOGT78BTHjFtn9kAUDhsZXAR9/eKDPM2qqZmsi0KdJIw==
-----END CERTIFICATE-----
结果是,
Common Name: mail.google.com
Subject Alternative Names: mail.google.com, www.mail.google.com
Organization: Google Ltd.
Organization Unit: Tech Dept.
Locality: English
State: Florida
Country: US
Valid From: March 14, 2011
Valid To: March 14, 2014
Issuer: UTN-USERFirst-Hardware, The USERTRUST Network Write review of Comodo
Key Size: 2048 bit
Serial Number: 047ecbe9fca55f7bd09eae36e10cae1e
他们安全吗?
答案1
他们是不是安全,这就是为什么它们被标记为不受信任。这些都是假证书。请参阅这篇关于 EFF 的文章:
3 月 15 日,一家 HTTPS/TLS 证书颁发机构 (CA) 被骗签发了虚假证书,对互联网安全构成了严重威胁。根据目前可用的信息,该事件几乎(但还不至于)导致互联网安全崩溃。正如本文将解释的那样,这些事件表明了我们为什么迫切需要开始加强目前用于验证和识别安全网站和电子邮件系统的系统。
Tor Project 博客上有一篇由 Jacob Appelbaum 撰写的文章,分析了上周撤销大量 HTTPS 证书的情况。主流网络浏览器的补丁将黑客入侵证书颁发机构后颁发的大量 TLS 证书列入了黑名单。Appelbaum 和其他人能够将列入黑名单的证书的序列号与全面的证书撤销列表集合进行交叉引用(这些 CRL URL 是通过查询 EFF 的 SSL Observatory 数据库获得的),以了解哪些 CA 受到了影响。
答案是网络上最大的 CA 之一 Comodo 拥有的 UserTrust“UTN-USERFirst-Hardware”证书。Comodo 现已发布关于不当颁发证书的声明,这些证书用于价值极高的域名,包括 google.com、login.yahoo.com 和 addons.mozilla.org(最后一个域名可用于对安装新 Firefox 扩展的任何系统植入木马,尽管对以前安装的扩展的更新具有第二层保护,可抵御 XPI 签名)。其中一个证书用于“全局受托人”——而不是域名。这可能是一个恶意 CA 证书,可用于完美地冒充网络上的任何域名。