翻墙问答:WoSign和Startcom数码证书是否不能信任?(视频)


2016.09.30
0930-firewall-wosign.jpg 翻墙问答:WoSign和Startcom数码证书是否不能信任? (粤语部制图)

【翻墙问答】WoSign和Startcom数码证书是否不能信任﹖

问:Mozilla最近表示,有可能会对中国的WoSign,以及以色列的StartCom所签的数码证书不作承认,一如当年对付CNNIC数码证书的做法。倘若Mozilla决定真的以CNNIC的做法,对付WoSign和Startcom的数码证书,将有什么结果?

李建军:一旦Mozilla决定以处理CNNIC数码证书的方式,处理WoSign和Startcom的数码证书,那在若干日期后发出的Wosign和Startcom数码证书就一概无法在Mozilla上使用,由于Chrome以及Safari都会跟随相关决定,换言之,WoSign和Startcom所发出的数码证书,将会成为废物,必须寻求其他替代的数码证书签署人。

问:为何Mozilla要以对付CNNIC数码证书的方法,对付WoSign和Startcom的数码证书?

李建军:首先,WoSign在处理SHA-1证书上不老实,现时主流浏览器,都不再承认在特定日期后签发的SHA-1证书,因为SHA-1的安全度不足,应予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然将新发出的SHA-1证书改为禁令生效前的日子,导致相当大的保安问题,因此被Mozilla组织认为有问题。

而WoSign并无表明自己是Startcom的大股东,但Startcom和Wosign共用同一套软件,同一套基建,被认为这种行为相当不老实。因此,Mozilla组织商量采取行动,而为WoSign作资讯科技安全审计的安永会计师行香港办事处,亦在这次事件上,受到严厉的批评。

问:那现代是否就应不信任WoSign和Startcom的证书?

李建军:由于WoSign的作为,有相当大的欺骗成份,因此,无论Startcom还是WoSign都不应再信任。如果你需要免费的SSL证书,亦不应再用WoSign或Startcom的免费证书,而是应改用其他的免费证书,以免惹来不必要的麻烦。

而这次翻墙问答,会有视频示范,如何设定不再信任Startcom以及WoSign的证书,欢迎听众浏览本台网站,收看有关视频。

问:最近,法国公司OVH,受到极严重的DDoS攻击,而攻击的来源,并非一般变成了僵尸电脑的智能手机,或长期被黑客控制的桌面电脑,而是大量廉价的网络保安镜头,到底是怎样一回事?

李建军:由于物联网概念兴起,越来越多保安视像镜头可以连接互联网,这些可以连上互联网的镜头,实际上都是一部小电脑,但这些保安镜头的作业系统,并不像智能手机,或电脑般复杂,黑客很容易有机可乘,取得保安镜头的实质控制,并利用这些镜头发动DDoS攻击。

黑客控制保安镜头作业系统,所带来的问题不只DDoS攻击这样简单,黑客既然可以利用镜头发动DDoS攻击,那意味著可以做其他事,例如指挥镜头拍摄特定位置,或将镜头所拍的影像下载到一部主机上,实际上会造成相当大的私隐困扰,因为保安镜头所拍的内容,本来应用作保安用途,包括防止罪案,以及一旦罪案发生时可以作目击证据之用,而不是被不法分子作犯罪工具之用。

要避免自己的保安镜头变成黑客玩具,首先你的保安镜头,不应使用系统内置的使用者名称和密码,全世界很多保安镜头落入黑客手中,都是因为镜头的使用者名称和密码,使用预设设定。你自己用的镜头,就应用独一无二,黑客不易猜到的使用者名称和密码,毕竟黑客会优先向容易落手的目标埋手。

如果你的保安镜头连上Wi-Fi的话,那你的Wi-Fi至少是WPA2标准,因为WPA2加密标准,才能够提供足够保护,避免黑客有机可乘。如果你连上Wi-Fi是没有加密或保安可言的话,实际上等于邀请黑客控制你家的系统一样,这是相当不智的做法。

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。