 |
ericdiao🏢 Boston University V2EX 第 91225 号会员,加入于 2015-01-11 21:13:44 +08:00今日活跃度排名 23395 |
eric_diao
ericdiao.com
BOS
ericdiaoeee
ericdiao
EricDiao
ericdiao 最近回复了
5 天前 回复了 00oo00 创建的主题 › 全球工单系统 › LiteSSL 鉴权漏洞 可随意盗签他人泛域名证书 |
@XDiLa
WebPKI 是由信任驱动的。信任是 CA 以及浏览器厂商卖给你的东西。整个环节中对于这种信任的蓄意或者无意地破坏(故意签发没有正确鉴权的证书或因为系统故障/逻辑误签发等)对于利益相关方都是「信任」的重大打击,造成的是商誉的损失。
对于「免费证书」,CA/Browser Forum 和各利益相关方大体和付费 DV 证书采用相同的 baseline 标准。CA 为了被包括在 OS 、浏览器中,必须向社区证明自己满足这些要求(一个近期的例子是 [1])。这当然是因为各实作对于 DV 证书「是否收费」并不做区分。考虑一个状况:我假扮 Google 骗 Let's Encrypt 和 Digicert 给我签发 google.com 的证书并用来干坏事,两者造成的伤害是相同的。
而此类「向不该签发证书的人签发了证书」的状况,正是这一系列社区标准中,被广泛认为应该负责的事情(作为用户,社区的一员,我个人感谢 @myssl 代表的 TrustAsia 的迅速行动)而不是「因为免费所以就完全不该负责」。
至于现实危害,正如你的 LLM 给你讲的那样,大规模的攻击需要更大层面的问题。但我如果控制了我的咖啡馆、酒店、机场的公共网络(甚至是 ISP ),用一些 DNS 劫持等等的手段,确实是能够影响到可观量的用户的。而「瑞士奶酪模型」教给我们的是要让事情不那么糟糕,我们可能除了多几片奶酪( DNSSEC, RPKI etc )之外,还需要让奶酪的洞稍微小一点。
此外关于现实危害,大家可能还记得就在不久的十多年前,HTTPS 还没有那么广泛部署的年代,ISP 们通过各种手段劫持下载、往页面上插广告的事情可在神州大地上广泛发生着。
[1] https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/UdDqO6K4YpU
WebPKI 是由信任驱动的。信任是 CA 以及浏览器厂商卖给你的东西。整个环节中对于这种信任的蓄意或者无意地破坏(故意签发没有正确鉴权的证书或因为系统故障/逻辑误签发等)对于利益相关方都是「信任」的重大打击,造成的是商誉的损失。
对于「免费证书」,CA/Browser Forum 和各利益相关方大体和付费 DV 证书采用相同的 baseline 标准。CA 为了被包括在 OS 、浏览器中,必须向社区证明自己满足这些要求(一个近期的例子是 [1])。这当然是因为各实作对于 DV 证书「是否收费」并不做区分。考虑一个状况:我假扮 Google 骗 Let's Encrypt 和 Digicert 给我签发 google.com 的证书并用来干坏事,两者造成的伤害是相同的。
而此类「向不该签发证书的人签发了证书」的状况,正是这一系列社区标准中,被广泛认为应该负责的事情(作为用户,社区的一员,我个人感谢 @myssl 代表的 TrustAsia 的迅速行动)而不是「因为免费所以就完全不该负责」。
至于现实危害,正如你的 LLM 给你讲的那样,大规模的攻击需要更大层面的问题。但我如果控制了我的咖啡馆、酒店、机场的公共网络(甚至是 ISP ),用一些 DNS 劫持等等的手段,确实是能够影响到可观量的用户的。而「瑞士奶酪模型」教给我们的是要让事情不那么糟糕,我们可能除了多几片奶酪( DNSSEC, RPKI etc )之外,还需要让奶酪的洞稍微小一点。
此外关于现实危害,大家可能还记得就在不久的十多年前,HTTPS 还没有那么广泛部署的年代,ISP 们通过各种手段劫持下载、往页面上插广告的事情可在神州大地上广泛发生着。
[1] https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/UdDqO6K4YpU
2021 年 2 月 13 日 回复了 zhoudaiyu 创建的主题 › MacBook Pro › 你们的 mbp 有用有线网卡上网的吗? |
用的贝尔金的 USB-C to Gigabit Ethernet Adapter,在 Apple 买的: https://www.apple.com/shop/product/HJKF2ZM/A/belkin-usb-c-to-gigabit-ethernet-adapter
2020 年 5 月 31 日 回复了 sparktour 创建的主题 › 宽带症候群 › 求有国内 CN2 线路的 v 友帮忙测试一下到 cloudflare 的连接。 |
我们这里用科技网一样阻断,和楼主差不多的情况。大概从半个月前开始就是这样了。
2017 年 12 月 21 日 回复了 qianyi0129 创建的主题 › Python › 下载 Anaconda 5.0.1 怎么提速? |
https://mirrors.geekpie.org/anaconda/
上海科大镜像,如果你在上海周边的话会比较快,上游是清华。
上海科大镜像,如果你在上海周边的话会比较快,上游是清华。
2017 年 12 月 3 日 回复了 bitkwan 创建的主题 › MacBook Pro › 今年 10 月在国外买的 MBP 能在国内保修吗? |
@bitkwan 应该是全换,上周在 Apple 浦东换过,保外需要 3000cny。。。
2017 年 7 月 9 日 回复了 liwusen00 创建的主题 › 杭州 › V 友吗,杭州还适合生活吗?毕业生是选择杭州还是成都 |
来成都躲雾霾?😄
2016 年 8 月 31 日 回复了 katyang 创建的主题 › Raspberry Pi › 有人用树莓派做正经事吗? 不是玩一玩那种 |
有大学用它做本科生机器人课程的控制器,听学长讲的。
2016 年 8 月 21 日 回复了 txydhr 创建的主题 › DNS › dnspod 部分域名从 114 解析返回 NXDOMAIN |
8.8.8.8 也一样。
2016 年 8 月 20 日 回复了 jarodvip 创建的主题 › DNS › 大家都在用什么 DNS,给推荐一下 |
Select Language