安全證書頒發機構Comodo被入侵後的應對方案

讀到這樣一條新聞：

Mozilla在推出Firefox 4正式版的同時，發布了Firefox 3.6.16和3.5.18，主要是在黑名單中加入了多個偽造的SSL證書。

據tor官方部落格報道，SSL 證書認證機構Comodo上周遭到入侵，攻擊者給自己發了幾大重要網站的有效HTTPS證書。這些網站包括了 login.live.com，mail.google.com，www.google.com，login.yahoo.com，login.skype.com，addons.mozilla.org，Global Trustee。攻擊者可以利用這些證書冒充受害者網站。Chrome、Firefox已經將它們加入到黑名單中，微軟也發布了相關更新。

我覺得這太危險了，攻擊者偽造的SSL證書影響Google、skype、yahoo、live等網站，配合DNS污染技術可以偽造這些網站的HTTPS登錄界面而沒有任何警告。

中國是DNS污染的重災區，加上我收到很多疑似來自政府的釣魚郵件， 我覺得這次攻擊要是又是傳說中的｢藍翔技校｣乾的的話，製作木馬郵件或竊取Google Checkout 、SKYPE、PAYPAL里的銀子就太容易了，因為結合DNS污染欺騙網民進入中間人攻擊站點會沒有任何的安全警告。關於如何利用安全證書去實現中間人 攻擊，請閱讀這篇文章：《SSL竊聽攻擊實操》，這是DNSPOD的創始人吳洪聲 寫的，原理就是正式的向已經被瀏覽器默認信任的CA機構申請證書，得到合法的證書，然後用合法證書＋偽造站點期騙用戶訪問，讓用戶輸入密碼，然後再向真正 的站點請求用戶真正需要的內容，就像提供了一個代理伺服器一樣，但用戶感覺不到與訪問正宗網站有什麼區別。這就是｢中間人攻擊｣。

解決方法是升級瀏覽器。firefox已經增加了SSL證書的黑名單，但我不知道到底是哪個證書有問題，我於是像屏蔽CNNIC的root CA一樣把Comodo給拉黑了，具體方法是：蘋果用戶到實用工具->鑰匙串訪問->系統根證書->證書，找到Comode(或CNNIC)雙擊，改默認為永不信任.  這樣遇到偽造的GOOGLE登錄界面時會有安全警告。

拉黑了CNNIC和COMODO的根證書，以後凡是使用這兩家證書的網站都會導致我的電腦上的瀏覽器出現安全警告。現在GOOGLE用的是 Versign的底下的Thawte SGC CA頒發的證書，要是哪天訪問時跳出來顯示為COMODO頒發的，那我就中獎了。當然，會有誤殺，如果訪問別的使用了comodo的安全證書的網站，我的 瀏覽器也會出現警告，要是這站點不是重要的網站，我可以臨時允許訪問這個網站。

另外，採取一些防範DNS劫持的措施也就不會遇到使用了偽造COMODO證書的網站了，如使用VPN，確保使用的DNS伺服器地址是國外的地址，還 確保通往DNS的路徑是走的VPN通道，比如，使用SSH轉發的翻牆者，雖然使用了 8.8.8.8  這個DNS伺服器，但由於DNS請求不走隧道，還是會被DNS劫持。

例：

nslookup blog.aiweiwei.com 8.8.8.8

會得到：

Non-authoritative answer:
Name: blog.aiweiwei.com
Address: 93.46.8.89

這個 93.46.8.89就是GFW的DNS污染的證據，blog.aiweiwei.com 的真正IP應該是 67.205.38.6 才對。

附：

什麼叫中間人攻擊？

這篇文章《會話劫持與中間人攻擊 》用一個戰爭案例解釋了：

20 世紀80 年代後期，南非在納米比亞與安格拉附近與古巴交戰，當時南非的空軍實力較強，雷達系統也比較發達，擁有一套用於敵我識別，避免誤傷的質詢/響應系統，稱作 IEF，只有擁有密鑰的南非飛機才能夠解密並發送正確的回應信號。

按理說，南非擁有制空權，但一次戰役中，古巴卻成功地轟炸了南非的陣地，他們是如何實現的呢？

原來，當南非轟炸機前去轟炸古巴地面的軍事目標時，古巴的米格戰機悍然直入南非空防區。當南非的 IEF 發送質詢信號時，米格將信號發回基地，基地轉發給南非轟炸機並取得其回應，再送回米格，米格就近乎實時地獲取了 IEF 的響應信號……整個過程中，米格戰機和古巴基地實際上並不知道這些質詢響應信號的意義……

這就是中間人攻擊

來源：安全證書頒發機構Comodo被入侵後的應對方案