中间人攻击与SSL证书颁发机构

什么阻止了MITM的人 – 攻击证书颁发机构的请求来validation证书？

当浏览器通过证书颁发时，它不会连接到颁发证书颁发机构（CA）来validation证书; 它必须先验地信任CA. 根据证书，CA和浏览器的不同，它可能会连接到CA证书中包含的URL，以检查该站点提交的证书是否已被吊销（撤销列表），但该连接是由CA证书而不是网站提供的证书。 据我所知，大多数浏览器并没有这样做，尽pipe大多数浏览器都可以configuration。 如果CA证书被泄露，那么CA证书将需要手动删除，或者通过修补程序或新版本的浏览器代码删除。

浏览器是否预装了可信authentication中心的公钥（从而提供authentication）？

是。 不过，不仅仅是公钥，它实际上是来自包含公钥的CA的自签名证书，除了吊销列表之外，还应包含用于validation证书本身的URL，并且可能更多。 基本上，每个浏览器制造商都必须决定哪个CA需要预先安装，哪些CA要离开，这是一个讨论和大事业的话题。 大多数CA在销售证书方面产生了大量的资金，而且每个浏览器都预装了这些证书，所以他们会在浏览器厂商的努力下进行安装。 但是，CA的可信度是一个可以引起安全人士争论的话题。

每当我想到MITM攻击时，我认为任何防御都需要build立一个“安全”的连接来build立authentication，而任何“安全”连接的初始build立似乎总是受到MITM攻击本身的影响。 例如，如果上面的可信authentication中心的公钥确实是分配给浏览器的，那么浏览器的分发就会受到MITM的攻击。

虽然这是真的，但这是一个比其他方法更困难的攻击媒介，你可以通过在安装之前validation浏览器的分发文件来打击它（即根据网站发布的散列validation安装文件的SHA1散列）。 此时，攻击者必须渗透浏览器制造商或证书颁发机构，这也是更困难的攻击媒介（虽然当然不是闻所未闻）。

据我所知，即使你把一个公钥/证书/任何东西交给某人，你最好从别处知道，否则他们可能是一个MITM。

那么，给别人你的公钥（或者包含公钥的证书）是无害的。 所有这一切意味着他们可以validation你使用所述证书签名的东西实际上是来自你的（他们可以encryption只有你可以解密的东西）。

但从根本上说，你是对的。 在某个时候，你必须相信某人。 这是关于安全，networking，商业和生活的重要事情。 当然，你需要用健康的怀疑态度来缓和这个问题，并不断重新评估你的信任关系。 当然，你也应该记住一些哲人的build议：“ 信任，但是确认 ”（或者，如果你愿意的话：按照古老的俄语谚语的合理build议：“doveryai，no proveryai”[俄语： Доверяй，нопроверяй]“）。 为了确保您的计算机的安全 ，您需要将其closures，拆除，销毁组件，然后销毁遗留物。

就与其他人build立信任关系而言，有一个已经相信他们的共同的朋友是有帮助的。 这是“信任环”背后的要点在某些时候，你必须有一点信心。 你怎么知道为你颁发驾驶执照的人真的是国家的雇员呢？ 当然，你可以生成你的公钥，记住指纹，并在目标系统上安装pub key

我理解正确吗？

我不确定，但我怀疑是这样。 请把这一切都重复给我，用你自己的话来解释，我会让你知道的。

编辑：真的，正如GregD指出的，所有这一切都是学术的，因为大多数人点击“仍然继续”button，当他们的浏览器警告他们不相信证书，然后游戏结束。 当然，如果你在一个企业工作，并控制用户发行的系统，你可以configuration它，所以它不会显示那个button，但你将不得不处理掉。 单击该button的唯一时间是当你没有连接到networking，并且在你和系统之间有单线连接来呈现不受信任的证书（并且即使这样也是有争议的）。

没有（如果做错了，虽然没有完成，但很难评论），是的。 您的浏览器预装了一系列CA证书，您可以使用这些证书来validation提供给您的任何公共证书; 如何信任你的CA包的问题是一个有趣和开放的问题。

是。 浏览器预装了通用可信证书颁发机构的证书。

理论上可以改变证书和/或浏览器，以免发生MITM攻击。 如果您的CA证书发生了变化（例如通过恶意软件），那么他们将不会在使用真实CA的网站上匹配，但如果浏览器通过恶意第三方路由，则会允许MITM攻击。 我没有意识到这种情况的真实世界的例子，但我不认为这是一个恶意软件作家难以完成。

上述情况的最佳防御措施是保持病毒防护处于最新状态，而不是单击电子邮件中的链接以访问您的可信站点。

为了进行成功的MITM攻击，我所要做的就是让我的用户在我的证书被毒化后接受我的证书。 对于大多数最终用户来说，这是多么容易？

训练你的最终用户。