我在域名注册商处的帐户被黑了,我试图了解黑客是如何窃取我的登录凭据的。因为域注册商网站的 ssl 证书的信任链中的根证书使用 1024 位公钥,这是否意味着我的登录凭据通过某种类型的中间人攻击被盗?
我的问题的详细版本:
我是居住在中国的外籍人士。有人试图通过侵入我在域名注册商处的帐户来窃取我注册的域名。负责闯入的个人能够两次闯入我的帐户。在第一次妥协(2014 年 10 月)之后,我尽我所能通过设置强密码和强帐户安全问题来保护帐户。我定期更新我的密码和帐户安全问题。
在第一次帐户被盗时,我无法在用于访问我的在线帐户的 PC(Linux 操作系统)上识别出任何恶意软件;但是,为了尽量减少恶意软件感染我的电脑并窃取登录凭据的可能性,我开始使用 Chromebook。
我还采取措施保护我的 Internet 连接,方法是通过 ssh 连接到我在 Digital Ocean 上设置的云服务器代理我的 Chromebook 流量。(我使用 Chrome 的 Secure Shell 扩展来设置 ssh 连接。)由于中国的长城防火墙限制并重置了与国外服务器的 ssh 连接,我通过商业 VPN 服务提供商提供的 VPN 连接到我的 ssh 服务器。尽管如此,我的帐户在 2015 年 3 月底左右再次遭到入侵。
在第二次妥协之后,我开始检查 Chromebook 上显示的我访问的网站的 ssl 证书信息,发现一些问题让我相信我的 Chromebook 的 Internet 连接受到某种类型的 Man-In-The-中攻。
首先,对于使用扩展验证 ssl 证书的网站,我的 Chromebook 几乎不会显示绿色地址栏(带有挂锁图标)。我只会看到一个绿色的挂锁图标或带有黄色警告三角形的挂锁图标。
此外,域名注册商、我的电子邮件提供商和我经常访问的许多其他在线站点的证书信任层次结构中显示的根证书的公钥信息显示的密钥大小为 1024 位。从其他 PC 访问相同的网站时,我发现证书层次结构中使用的根证书的密钥大小为 2048 位。
从我的 Chromebook 中,我使用“Base64 编码的 ASCII,证书链”导出了我的域注册商的 ssl 证书。
证书链信息在这里供您参考。
在 Ubuntu 中打开此文件会显示链中每个证书的详细信息,包括具有 1024 位公钥的根证书。
证书信任链显示信任链中的中间证书为2048位,注册商的ssl证书为2048位。(我还通过 Steve Gibson 的指纹服务验证了域名注册商的 ssl 证书的真实指纹是正确的。)
我还发现连接到我的电子邮件服务 (Fastmail) 时使用的信任链使用的是 GTE CyberTrust Global Root 证书。此根证书似乎已关闭,因为我发现 Fastmail 从正确显示带有挂锁图标的完整绿色地址栏的浏览器连接时,在证书链中使用了 DigiCert High Assurance EV 根证书。
我的 Chromebook 与 Fastmail 连接的“Base64 编码 ASCII,证书链”在这里供您参考。