版主: hci
当然是server存了。谁说客户端要存?客户端存的是CA的,只有几个根证书而已,哪有那么多。你到底懂不懂啊?tmbb2010 写了: 2022年 8月 29日 02:48 按你的理解,一个client可能要访问100000000000个网站,是不是这个client的电脑里要存储这100000000000个证书?以便于验证它访问的是否正确?
脑子有病!
bihai 写了: 2022年 8月 31日 15:12 当然是server存了。谁说客户端要存?客户端存的是CA的,只有几个根证书而已,哪有那么多。你到底懂不懂啊?
在SSL中,有客户端,服务器,CA认证中心(一个机构)
先要确定一个基调,客户端是完全信任 CA认证中心。CA认证中心给服务器发了个数字证书,CA认证中心表示信任服务器,那么最终,客户端从服务器下载了数字证书,去找CA认证中心校验(校验,CA认证中心是否信任服务器)。
当然会发生了,我说的是发生dns劫持的情况:一个黑客黑了一个用户的路由器或者其他设施,使得这个用户的路由器发出的dns请求被黑客篡改。用户的浏览器访问的是amazon.com,但是黑客假冒了一个dns,返回的是他自己的服务器。那么,黑客的服务器就得证明自己是amazon.com才能让用户继续使用亚马逊,否则用户的浏览器会提示,这个不是正规的亚马逊。怎么做的呢?那就是亚马逊要把自己的证书让CA去签名,之后用户的浏览器可以用CA的公钥验证这个是签过名的,所以证书里面所陈述的网站amazon.com是真实的。黑客呢?他要么做不到,要么买通了CA去做。tmbb2010 写了: 2022年 8月 31日 19:05 那既然只要存root的证明书,回过头来,再看你说的有没有需要证明:当碰到xyz-test.com时,客户端会发生,这不是xyz.com这种情况?
然后再想想,我说了几次【不存在这种情况】?
bihai 写了: 2022年 9月 4日 11:45 当然会发生了,我说的是发生dns劫持的情况:一个黑客黑了一个用户的路由器或者其他设施,使得这个用户的路由器发出的dns请求被黑客篡改。用户的浏览器访问的是amazon.com,但是黑客假冒了一个dns,返回的是他自己的服务器。那么,黑客的服务器就得证明自己是amazon.com才能让用户继续使用亚马逊,否则用户的浏览器会提示,这个不是正规的亚马逊。怎么做的呢?那就是亚马逊要把自己的证书让CA去签名,之后用户的浏览器可以用CA的公钥验证这个是签过名的,所以证书里面所陈述的网站amazon.com是真实的。黑客呢?他要么做不到,要么买通了CA去做。
我随便在网上搜的,你好好看看吧
E-commerce website owners pay a third-party called a Certificate Authority (CA) to verify who the company is and that its transactions are authentic. Web browsers, like Google Chrome and Firefox, maintain lists of Certificate Authorities they consider trustworthy.
还有
Websites need SSL certificates to keep user data secure, “verify ownership of the website”, prevent attackers from creating a fake version of the site, and convey trust to users.
你就说引号里面干啥用的吧
而我的标题就是要做dns劫持,但是是用在公司内部的测试,让xyz-test.com在客户端看起来就是xyz.com。因为是公司自己的网站,既然公司已经有了xyz.com的证书,就直接拿来在xyz-test.com用即可。所以这个解决方案就是既要dns劫持,又要原本网站的证书。
看来你是对X501证书下了一番功夫bihai 写了: 2022年 8月 31日 15:12 当然是server存了。谁说客户端要存?客户端存的是CA的,只有几个根证书而已,哪有那么多。你到底懂不懂啊?
在SSL中,有客户端,服务器,CA认证中心(一个机构)
先要确定一个基调,客户端是完全信任 CA认证中心。CA认证中心给服务器发了个数字证书,CA认证中心表示信任服务器,那么最终,客户端从服务器下载了数字证书,去找CA认证中心校验(校验,CA认证中心是否信任服务器)。
搞半天你就没明白我要干嘛,我要干的就是让B服务器向客户端证明自己是A,而我说了半天就是说这个是必要的一步。整个流程就是为了把提交给A服务器的代码先提交给B做测试用。这样当然B得证明自己是A,要不然客户端不会正常运行的。所以从一开始我就要进行DNS劫持。tmbb2010 写了: 2022年 9月 4日 23:28 如果黑客把一台本地DNS服务器改了,客户访问xyz.com,被这台本地DNS定向于一台别的服务器的IP地址,比如称为B服务器(在广域DNS上,这台服务器可以是任意的名称,比如,xxx.com),那么在B服务器<--->客户之间建立通讯联系之间,不存在任何什么xyz.com的证书,换句话说,和xyz.com没有任何一丁点的关系。B服务器<--->客户之间建立通讯联系也不会存在任何问题。
B服务器<---->客户建立联系的时候,如果B服务器是自己认证的,普通客户访问时,会有提示(没有认证,安全性低)
比如,中国国家统计局,这就是一个自己认证网站 data.stats.gov.cn 普通用户照样可以正常访问
如果B服务器,花了钱,经过欧美CA认证,那么B服务器和客户之间的通讯(用欧美的浏览器访问)就没有任何问题。这和啥xyz.com没有任何关系。
我可能没搞清楚你的意图,不知道你想达到什么完全程度,但是按正常流程,俺只能回答你上面这此,当然,你信不信,或者你还是认为:必须要和xyz.com有关系。那就是你的事了。
总之,俺回你的贴,到此为止。
当然可能挺麻烦的,比如我们是直接复制原来的证书呢?还是另做一个。直接复制,问题是秘钥就得复制。另做一个,那CA就奇怪了,你怎么需要两个?minquan 写了: 2022年 9月 5日 22:24 看来你是对X501证书下了一番功夫
这就是为什么CA能够收证书费,因为只有他们发的是正宗的,被各浏览器内置承认的。
但是用openssh也可以生成个假CA,然后颁发个假证书给你的网站。
浏览器会报警。你需要的通过设置,就是让浏览器信任这个假CA,或者信任这个网站的所有假CA和假证书。
直接复制应该就可以。bihai 写了: 2022年 9月 7日 23:42 当然可能挺麻烦的,比如我们是直接复制原来的证书呢?还是另做一个。直接复制,问题是秘钥就得复制。另做一个,那CA就奇怪了,你怎么需要两个?
我们不会做个假的,因为我们不会修改设备的代码。设备就是我们的客户端,里面的代码是要验证证书的。不会随便跳过证书的验证这一步。
