我的女朋友有一台旧的联想笔记本电脑。我检查了一遍,对 Superfish / Komodia 根 CA 证书不存在并不感到惊讶。但是,我发现其他一些在功能上看起来相似的,如果不是目的的话。
Avast 防病毒软件和 Skype 似乎已经安装了一些密钥,预计这两者都将在计算机上。然而,这些密钥的使用可能与 superfish 非常相似——通过为远程站点动态创建签名 SSL 证书来拦截安全 Web 内容。
这可能会引发与 Superfish 软件类似的安全问题。即,如果攻击者拥有这些密钥,他们可以颁发本地计算机信任的证书。
1)。如果我理解正确,为了让这些程序玩 MITM,它们需要访问与已安装的证书颁发机构关联的私钥。因此可以通过对软件进行逆向工程来获得。正确的?
2) 谁能确认这些密钥是否是为每次安装单独生成的?
我的理解是 Superfish 将完全相同的证书和私钥安装到每台计算机中,因此一旦您获得了硬编码的私钥,您就可以使用它来管理任何安装了 superfish 的人。Avast 不这样做;它为每次安装动态生成唯一的证书和私钥。
这是我桌面上的 Avast 证书的样子:
这是我笔记本电脑上的 Avast 证书:
很明显,它们是不同的证书。这意味着我不能只从我自己的计算机上获取 Avast 私钥并用它来攻击安装了 Avast 的其他人。超级鱼也不能这么说。
另一个区别是,Avast 不只是盲目地把所有东西都放在中间。相反,它首先验证原始证书的有效性。如果原始证书有效,它将继续对流量进行中间人处理,以便扫描恶意软件。但是如果原始证书有问题,它会故意使用未安装在受信任证书列表中的证书进行中间人,生成浏览器警告。您可以在下面的屏幕截图中看到这一点:
当访问具有有效证书的网站时,Avast MITMs 流量以扫描恶意软件...
但是,如果我使用自签名证书访问网站,Avast 会故意使用不受信任的证书 MITM 来生成浏览器警告 - 请注意名称“Avast Web/Mail Shield UNTRUSTED root”
这样,Avast 可以避免意外导致用户访问带有错误证书的网站。它并不完美,但它仍然比盲目的中间人安全得多,它拥有一个在每台计算机上都相同且受信任的根证书,就像 Superfish 一样。
如果您不确定 Avast 的行为,请查看 Avast 证书的有效期。
Avast 报告称,截至目前,证书有效期为 2013 年 10 月 22 日至 2016 年 7 月 6 日,此页面在 HTTPS:// 中的到期日期,颁发给 *.stackexchange.com,由
“avast!网络/邮件屏蔽根”。
禁用 Avast 保护 10 分钟,再次检查,唯一的变化是颁发者具有完全相同的信息,但证书颁发者更改为
“DigiCert SHA2 高保证服务器 CA”
原始证书的到期日期没有改变,它的颁发对象也没有改变。