V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mrleft
V2EX  ›  程序员

关于监控证书

  •  
  •   mrleft · 2015-03-26 03:49:00 +08:00 via Android · 2751 次点击
    这是一个创建于 3540 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CNNIC事件,有个企业内网监控证书的说法,随便什么样的企业能用吗,这个机制本身不是个错误吗?明明是https还有监控。
    3 条回复    2015-03-26 17:14:22 +08:00
    9hills
        1
    9hills  
       2015-03-26 03:57:59 +08:00 via iPhone
    一般企业的做法是把自定义CA装到机器上,域策略很容易这么做。装自己的CA是没问题的,但CNNIC这次的那个子服务商的做法是不允许的。
    honeycomb
        2
    honeycomb  
       2015-03-26 09:18:42 +08:00
    如果没有MITM监控,内网就搞不定HTTPS

    实际上现在杀毒软件为了监控HTTPS流量也需要装一张自签名证书来进行MITM,否则只能等到TLS里的内容解密以后它才能看有没有病毒


    然后现在还有一个叫做证书Pinning的特性
    就是对一个TLS或别的加密协议指定仅能使用某个CA发行的证书
    NewYear
        3
    NewYear  
       2015-03-26 17:14:22 +08:00
    看了下沃通的介绍,大致意思是在企业/类企业环境中,需要给自己的产品/域名打签名,因为部署自己的CA麻烦,还存着兼容性问题,于是是产生了这种中级证书机构。Google的也是如此,还有戴尔也有,其他的忘记了。

    虽然没有明说,但是有限制签名数量,或者对签名的域名范围进行限制/审核,比如签名域名的数量有限制,那么问题就出来了,要达到这种限制,必然要在沃通自己的平台上签发证书(猜的)。以达到限制签名数量之类的情况。

    价格估计便宜不到哪里去,是不是任何一个企业都可以呢?这个不清楚,我认为是要看限制标准和费用标准,不同的标准,未必是不可以的,但是签名范围肯定是有所限制的。

    然而CNNIC这次就是疏忽(猜测),才导致这种事情发生。

    说完了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6036 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 02:02 · PVG 10:02 · LAX 18:02 · JFK 21:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.