我最近阅读了很多关于 https 的安全性和可能的 MITM 攻击的内容。对我来说,似乎只有一种可能的方式来进行 https-MITM 攻击:当 MITM 交换随附的 https 证书并且我的计算机信任签名 CA 时。
所以我想知道我作为用户如何保持安全? 我阅读了有关 Firefox 的证书巡查:http: //patrol.psyced.org/但不幸的是我使用的是 Chrome,而且扩展名已经很老了(从 2011 年开始)。Chrome有类似的东西吗?我喜欢某种证书“数据库”的想法,这样我就可以在证书更改后立即收到通知(即使它已交换为我信任的新证书)。
这会产生良好的安全层吗?
谢谢!
Chrome有类似的东西吗?
不可以。Chrome 扩展程序目前无法访问有关正在使用的 TLS 证书的信息,并且添加此功能的提议早在 2015 年就被拒绝了。
这会产生良好的安全层吗?
可能不是。
让我们在这里澄清威胁模型:您担心“MITM 交换随附的 https 证书并且我的计算机信任签名 CA”的场景。这将要求攻击者从受信任的证书颁发机构为他们不拥有的域获取有效证书。
虽然 CA 过去曾错误地将证书颁发给错误的实体(Comodo、WoSign、Symantec),但这些都是非常罕见的事件,并且始终未能遵守基线要求中的验证要求的 CA 的根证书不受浏览器供应商的信任。(这发生在 WoSign 身上,目前正在发生在赛门铁克身上。)
此外,此类警报将提供的安全优势完全取决于您对注意到已修改证书的响应。站点一直在更改其证书(通常每隔一个月更改一次,例如在 Certbot 管理的 Let's Encrypt 证书的情况下),因此在出现此警报的绝大多数情况下,它只是一个错误的警报。您打算如何将这些误报与合法攻击区分开来?除非您有一些带外方式来验证您看到的新证书是否合法,否则警报不会起到太大作用。
伤心,但没有。您可以使用 Netcraft 扩展来避免钓鱼网站,或者使用 ESET Smart Security,它有模块可以检测不受信任的 SSL 证书。但是 chrome 没有类似于 Certificate Patrol 的扩展。