五千年(敝帚自珍)

主题:我所了解的中国“棱镜”情况 -- 汴梁牛二

共:💬146 🌺1539 🌵8
全看分页树展 · 主题 跟帖
家园 是的,CA的根证书是预设的;但靠DNS不能搞定

但是,CA是可以再安装的,而通常普通人在使用电脑的时候,都CA根证书的安装很少仔细去看是装了神马。

现在网银、国内预装的操作系统,甚至是一些商业软件,都可以成为植入政府证书的途径。

实际中,很多企业都对员工的上网行为进行记录,其中包括SSL数据;使用的方法就是,在企业的终端上增加一个预制的CA根证书(企业通常可以直接通过AD域推送),让浏览器信任企业自签发的证书,再在监听网关上安装一个企业自签发的证书。而实际这一块的问题是,SSL加解密非常消耗性能,如果这样做必须配置昂贵的硬件加解密设备,所以企业中采用的较少。但是,政府在这块的经费应该不是问题。

另外,SSL协议本身是足够安全的,现在可以采用中间人的是针对其只认证服务器端的模式,对于客户端和服务器双方都必须进行身份验证的模式,几乎无法进行攻击。所以,带证书客户端的VPN是足够可信任的。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河