来源:蜘蛛抓取(WebSpider)
时间:2018-07-11 16:47
标签:
支付宝资格认证
支付宝账号是什么意思,卖家要_百度知道
该问题可能描述不清,建议你
支付宝账号是什么意思,卖家要
我有更好的答案
支付宝(中国)网络技术有限公司是国内领先的独立第三方支付平台,是阿里巴巴集团的关联公司。支付宝致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。 支付宝公司从2004年建立开始,始终以“信任”作为产品和服务的核心。作为中国主流的第三方网上支付平台,我们不仅从产品上确保用户在线支付的安全,同时致力于让用户通过支付宝在网络间建立信任的关系,去帮助建设更纯净的互联网环境。 支付宝提出的建立信任,化繁为简,以技术创新带动信用体系完善的理念,深得人心。从04年建立至今,支付宝已经成为中国互联网商家首选的网上支付方案,为电子商务各个领域的用户创造了丰富的价值。截至2012年12月,支付宝注册账户突破8亿,日交易额峰值超过200亿元人民币,日交易笔数峰值达到1亿零580万笔。可以帐号为以下两种:一,你的手机号码;二,你的E-mail地址。支付宝的帐号的作用相当于你的银行户头一样。支付宝使用支付宝账号即是您在支付宝网站上注册的支付宝账户名(即邮箱地址),若您想为支付宝账户充值,请您登录支付宝网站,登录后在“我的支付宝”界面中,选择左上角的“账户信息管理”,点击“充值”按钮,再选择相应的“充值方式”即可根据系统提示完成充值(充值方式包括银行卡充值、支付宝卡通充值等)。
采纳率:80%
支付宝帐号就是你的淘宝帐号,一般都是用手机号开的,所以一般来说,手机号就是支付宝帐号,买家要的话,一般是转账了,比如买东西给好评反现什么的,就会把钱打到支付宝帐号上
本回答被提问者采纳
亲,相当于银行帐号!里面有钱,就可以买东西!
下载支付宝钱包,然后用手机号注册就行!
有支付宝帐号,别人可以转帐给你!
卖家买家不可缺少的支付账号
淘宝的支付平台
支付宝账号也是转账号
卖家要我的支付宝账户退款给我,那么该怎样添写。
1条折叠回答
其他3条回答
为您推荐:
其他类似问题
支付宝账号的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。待解决问题
信任支付和支付宝担保哪个比较靠谱点!
详细的要求和规则是什么,有没有必要去开通信任支付,我们是做韩国进口 紫外线UV灯管,曝光灯的
浏览次数:2075
用手机阿里扫一扫
以企业身份回答&
信任支付,回款的时间较长,30天内回款,它经过了第三方网银公司,而支付支宝是客户直接付款,回款时间较快,最多15天回款。建议使用支付宝吧,必竟这么久了,比较成熟。
这个都是在线支付的一个保障,但用支付宝的比较多,建议还是支付宝担保吧
习惯用支付宝
都是支持在线支付的工具。不过我习惯用支付宝了。
都差不多的吧,
正在进行的活动
生意经不允许发广告,违者直接删除
复制问题或回答,一经发现,拉黑7天
快速解决你的电商难题
店铺优化排查提升2倍流量
擅长  店铺优化
您可能有同感的问题
扫一扫用手机阿里看生意经
问题排行榜
当前问题的答案已经被保护,只有知县(三级)以上的用户可以编辑!写下您的建议,管理员会及时与您联络!
server is ok网上流传的所谓「支付宝偷偷添加根证书,将造成安全隐患」的说法是否正确?

的一些评论
原po的话:支付宝你这个不要脸的东西,居然偷偷添加根证书,自己的根就算了,还有个叫OSCCA的,还打开了所有的用途,你妈妈没教过你什么叫信息安全,什么叫证书体系吗?还TMD叫什么安全控件,我看就是木马。请同学们在Windows下按Windows+ R, 输入certmgr.msc,在“受信任的根证书颁发机构”-“证书中”找到“ROOTCA”,截止日期,单击右键,属性,选择“禁用此证书的所有目的”。Big brother is
watching you.
按投票排序
的回答浅显易懂,说的不无道理。 我想再补充一下。顺便评论一下很多人提到的CNNIC乱入Windows和Firefox根证书机构的问题。这个问题的关键在于支付宝私自添加根证书,是否有危害,危害大不大,对吧。评论中和其他回答(如 )以及里面的评论对于…
的回答浅显易懂,说的不无道理。 我想再补充一下。顺便评论一下很多人提到的CNNIC乱入Windows和Firefox根证书机构的问题。
这个问题的关键在于支付宝私自添加根证书,是否有危害,危害大不大,对吧。
评论中和其他回答(如 )以及里面的评论对于阿里巴巴作为一个根证书机构是否具备权威性,以及安全性是否能得到保障做了很多的讨论。我认为讨论的角度有点偏。 CNNIC、12306、阿里巴巴和很多其他银行的根证书之所以不应被信任,不仅是因为它们的公正性和可信度没有得到业界和公众认可,更重要的是,它们的根证书声明了远远超出需要的权限。
什么叫远远超出需要呢?阿里巴巴和各银行的根证书如果像很多同学所说,是为了为自己的网站签名,只需要有“服务器身份验证”的权限就可以了。如果需要为各种外置UKey签名,只需要“客户端身份验证权限”,而自己的软件需要认证,只需要“代码签名”权限。
那让我们看看CNNIC声称自己用用哪些认证权限。
&img src=&https://pic4.zhimg.com/d706bf4f4ba163be5c23_b.jpg& data-rawwidth=&953& data-rawheight=&117& class=&origin_image zh-lightbox-thumb& width=&953& data-original=&https://pic4.zhimg.com/d706bf4f4ba163be5c23_r.jpg&&再来看看12306的证书再来看看12306的证书
&img src=&https://pic3.zhimg.com/d19ec7484eefa7ee1d1e_b.jpg& data-rawwidth=&1084& data-rawheight=&193& class=&origin_image zh-lightbox-thumb& width=&1084& data-original=&https://pic3.zhimg.com/d19ec7484eefa7ee1d1e_r.jpg&&什么叫&所有&,可能大家没有概念,各位可以点开证书属性看一下什么叫&所有&,可能大家没有概念,各位可以点开证书属性看一下
&img src=&https://pic1.zhimg.com/da28aeedfb3a18100ab08_b.jpg& data-rawwidth=&421& data-rawheight=&310& class=&origin_image zh-lightbox-thumb& width=&421& data-original=&https://pic1.zhimg.com/da28aeedfb3a18100ab08_r.jpg&&选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。
那么有威胁的权限有哪些呢?看这里
&img src=&https://pic1.zhimg.com/c6f8a81d658_b.jpg& data-rawwidth=&312& data-rawheight=&163& class=&content_image& width=&312&&&img
src=&https://pic4.zhimg.com/739c905d32cff1013fb7_b.jpg& data-rawwidth=&323& data-rawheight=&164& class=&content_image& width=&323&&&img
src=&https://pic2.zhimg.com/bbdeb66aea6f1_b.jpg& data-rawwidth=&332& data-rawheight=&159& class=&content_image& width=&332&&有很多各位不需要专业知识,都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序,“合法的”向你的内核插入任意代码。而这一切,由于Windows支持后台推送更新,都可以在你完全不知情的情况下发生。相比于这个安全威胁,中间人攻击什么的完全是战五渣有很多各位不需要专业知识,都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序,“合法的”向你的内核插入任意代码。而这一切,由于Windows支持后台推送更新,都可以在你完全不知情的情况下发生。相比于这个安全威胁,中间人攻击什么的完全是战五渣
==============================================
对于CNNIC被微软和Firefox接纳为根证书机构的事情,这些年讨论的越来越少了。当年CNNIC进入Mozilla的根证书机构时,Mozilla社区就进行了激烈的争论。英语好的同学可以自行翻看当年的帖子。有意思的是,虽然来自中国的很多小伙伴反复列举了CNNIC过去的种种恶行(估计如果是国外的公司这么干,估计不会有人还会信任它了),Firefox的副总Johnathan Nightingale却一直在为CNNIC辩护。我不想评论Nightingale的做法。但他就事论事、讲求逻辑和证据的态度值得大家学习。
反对,不会显示你的姓名
最后更新于, 15:50本文是12306和招行的软文,脑残黑请出门右拐。正确。未经用户许可偷偷添加根证书信任是非常严重的行为!关键点在未经用户许可,这种行为好比,你请支付宝到你家来做客,结果他把你家的钥匙给偷偷配了一把。作为支付宝,请求用…
最后更新于, 15:50
本文是12306和招行的软文,脑残黑请出门右拐。
未经用户许可偷偷添加根证书信任是非常严重的行为!
关键点在未经用户许可,这种行为好比,你请支付宝到你家来做客,结果他把你家的钥匙给偷偷配了一把。
作为支付宝,请求用户信任其颁发的证书,是合理的!
但是偷偷的跟用户的保安说,这用户是我的哥们儿,以后我介绍的人你就不要盘问了,这种行为怎么说都不为过。
由此可见,中国的互联网主要都是一群毫无节操的公司。不要使用任何请求系统权限的所谓安全控件,才能真正的保证您的安全。
未经用户许可,利用安全控件窃取系统权限,安装根证书的行为,毋庸解释,流氓无疑。所谓安全目的,均是障目之术,毫无节操。(我在我电脑上就没有发现招行的根证书颁发机构)。
在这一点上,就连12306都比较有节操的让用户自行下载和安装,并且有其“正当目的”(HTTPS+CDN)。
下面有人评论说怎么能证明这个证书就是支付宝弄的。
很简单,先删除这个证书,然后到下面的地址下载支付宝的安全控件:
然后安装,就会发现的证书赫然出现在受信任的根证书颁发机构。
证书截图:
&img data-rawheight=&667& data-rawwidth=&484& src=&https://pic2.zhimg.com/bc2fa3ceaa5f01c9c3031_b.jpg& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic2.zhimg.com/bc2fa3ceaa5f01c9c3031_r.jpg&&
事实上这个证书是毫无必要的,因为即使删除这个证书,支付宝依然能够登录,除了开后门,几乎没有别的解释!
证书这货到底是什么东西:
在早期的互联网时代,我们的网站、软件,都是依赖于我们自己的信任而使用的。
例如我有一套游戏的安装程序,你从我这边拷贝过去,然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了,完全是依赖于我告诉你的。
网站也是同理,我知道这个地址是招商银行,是因为招行营业厅的MM告诉我的,我信任营业厅的这个MM。
这种信任是非常薄弱和糟糕的,病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序,可能已经被病毒侵袭,它当然还是可以安装游戏,但同时也会安装病毒!
营业厅的MM有可能是招行的员工,也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站,但是经常会给我推销一些完全用不到的保险啥的。
在继续讨论之前,我要引入一个新的概念,信任链。
拿刚才的例子来说,你从我这边拷贝了一份游戏的安装程序。信任链是这样的:
你信任我,我是你的朋友,我没必要害你
我信任卖光盘的,他是个卖光盘的,没必要给我装病毒
卖光盘的信任刻光盘的
刻光盘的信任下载的网站
下载的网站信任上传的用户
上传的用户信任分发该份拷贝的盗版组织
很显然,这么长的一个信任链,中间出现问题的可能性是非常大的。可以说,信任链越长,就越不安全。
同时,因为这一份程序在这么多人之间拷贝分发,任何一个环节感染病毒,都会导致下游所有的环节感染病毒。
证书是如何解决这两个问题的?
证书有两个功能:
1、身份标识,证明这个网站/软件/其他的发布者是谁(如微软、UBI、Google、招行)。
2、数字签名,确保这个网站/软件/等等的内容没有被任何人篡改。
第一个功能解决了信任链的问题,通过证书,我们的信任链可以变得非常的简单:用户 信任 发行者。
例如一个英雄无敌V的游戏安装程序,如果它是使用正确的UBI的证书签名的,那么我就可以完全的信任这个程序,可以给我安装一个英雄无敌V的拷贝。
第二个功能则杜绝了在分发过程中被篡改,植入病毒和木马的可能。
同样是这个英雄无敌V的游戏安装程序,只要他是被正确的UBI的证书签名了,那么不论我是从盗版光盘上拷贝还是从某个不知名的下载网站下载的,我都可以放心的知道,这个和UBI发售的光盘上的东西是一模一样的。
那么,我是怎么知道这个证书是UBI的呢?换言之,我是怎么知道哪个证书是正确的UBI的证书,而不是隔壁王二狗子自己冒充的呢?
这就依赖于证书颁发体系了。
几乎网络上所有的证书(除去用于个人用途的自签名证书以及根证书颁发机构的证书),都是由某个证书颁发机构颁发的。证书颁发机构负责核实证书申请者的真实身份(例如我们公司网站申请SSL证书就需要提交公司营业执照的影印件,还有证明自己拥有网站域名的材料),以及吊销被泄漏和滥用的的证书。
也就是说证书颁发机构,就是证书所有者身份的确认人。一旦你信任了某个证书颁发机构,就等于信任了这个证书颁发机构所颁发的所有证书的身份确认信息!
操作系统只会把确认好的身份信息展示给你!
神马是根证书颁发机构?
证书颁发机构和域名一样,是一个树状的结构,全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书,因为一旦根证书颁发机构的证书被泄漏,所有直接间接的证书,都会受到严重的影响。
所以,根证书颁发机构一般授权二级证书颁发机构颁发证书,一旦信任一个根证书颁发机构,等同于信任其下所有颁发的所有证书,以及其授权的二级证书颁发机构颁发的所有证书。
更为严重的事情是,根证书颁发机构,是整个证书颁发体系中,唯一不受任何身份验证的。其身份的正确性,由其自行保证!也就是说,根证书颁发机构可以宣称自己是任何一个公司,没有任何人和组织可以对其进行审查!
换句话说,支付宝要更没节操点,给你弄个自己签发的VeriSign的根证书装你电脑里也没商量。
事实上,根证书颁发机构是整个证书体系中,最薄弱的环节。这就是为什么上次微软在操作系统中内置CNNIC这个流氓的根证书引起了网络上广泛的质疑。根证书几乎只能由操作系统内置,通过操作系统安装程序二进制代码的安全来确保正确。
下面是一个正确的证书的栗子:
&img data-rawheight=&667& data-rawwidth=&484& src=&https://pic3.zhimg.com/cac46af962da7c1d0e36_b.jpg& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic3.zhimg.com/cac46af962da7c1d0e36_r.jpg&&这个就是支付宝网站的SSL证书。这个就是支付宝网站的SSL证书。
可以看到,这里是证书路径的界面,其中指出了这个证书的颁发者:
颁发者是VeriSign Class 3 Secure Server CA - G3
颁发者的证书是受根证书颁发机构VeriSign Class 3 Public Certification Authority - G5 信任的
VeriSign Class 3 Public Certification Authority - G5
就是全球为数不多的几个根证书颁发机构之一。
所以自行添加根证书这种行为,完全可以视同是木马!是后门!甚至是更严重的行为!
尤其是在现代互联网和操作系统中,这种行为是从根本上动摇系统安全的行为!
支付宝是怎么做到的?
事实上要注入受信任的根证书颁发机构,是需要系统管理员的权限的,所以当安装安全控件的时候,系统会提示这货在请求系统管理员权限(Windows Vista及以后的版本正确配置UAC的环境下):
&img data-rawheight=&267& data-rawwidth=&466& src=&https://pic2.zhimg.com/daaffbbf2da7e1_b.jpg& class=&origin_image zh-lightbox-thumb& width=&466& data-original=&https://pic2.zhimg.com/daaffbbf2da7e1_r.jpg&&
当你看到这个界面的时候,请注意,你在打开潘多拉的盒子。一旦你点击是,那么这个应用将获得系统管理员的所有权限,对你的系统偷摸摸的更改而无需你的确认。
请谨慎使用任何请求系统管理员权限的应用。事实上如果每次遇到这个对话框你都点击否的话,你的电脑被安装病毒木马的可能性几乎是零。
我该怎么做?
对于这种没有节操的行为,最好的办法就是把他们永远的封印起来,让他们永不超生。
打开Windows运行,然后输入mmc回车,
此时会看到一个智能控制台的界面:
&img data-rawheight=&559& data-rawwidth=&966& src=&https://pic3.zhimg.com/4ee4ce838466_b.jpg& class=&origin_image zh-lightbox-thumb& width=&966& data-original=&https://pic3.zhimg.com/4ee4ce838466_r.jpg&&
选择文件菜单中的添加/删除管理单元功能。
在弹出的窗口中找到证书,并添加。
在弹出来的界面上选择本地计算机账户:
&img data-rawheight=&537& data-rawwidth=&620& src=&https://pic3.zhimg.com/b6d5fd609fd512_b.jpg& class=&origin_image zh-lightbox-thumb& width=&620& data-original=&https://pic3.zhimg.com/b6d5fd609fd512_r.jpg&&
完成后,在受信任的根证书颁发机构中,找到这个臭流氓:
&img data-rawheight=&559& data-rawwidth=&966& src=&https://pic3.zhimg.com/e388ef481a3da09e7d2a_b.jpg& class=&origin_image zh-lightbox-thumb& width=&966& data-original=&https://pic3.zhimg.com/e388ef481a3da09e7d2a_r.jpg&&
把它拖拽到不信任的证书下面的证书文件夹去。。。。。
&img data-rawheight=&667& data-rawwidth=&484& src=&https://pic2.zhimg.com/2acdcf0ccf1dbf3dd9b773eff474cca9_b.jpg& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic2.zhimg.com/2acdcf0ccf1dbf3dd9b773eff474cca9_r.jpg&&然后他就不能再耍流氓了,,,,然后他就不能再耍流氓了,,,,
不过要谨记,你可以把他扔到不信任的区域,流氓也能自己再弄出来,或者用安全恐吓,功能缺失来威胁用户。对待这种情况,要坚决的say no!
事实上我把这个证书给干掉了,支付宝屁事儿没有。
最后纠正一下其他答案的几个误区:
1、注入一个根证书不过是能发起中间人攻击,危害不大。
HTTP SSL加密只是证书的其中一个用途!证书在现代互联网和操作系统中的应用会越来越广泛,在可预见的将来,所有的程序、邮件、文档,全部都会使用证书加密,确保其在传输、分发过程中,不被篡改。确认发行者的身份。
事实上三大智能手机平台的应用,就是用证书来确保分发不被篡改的。
2、注入根证书颁发机构是为了自己的加密用途,是合理的。
事实上,支付宝的网站,有合法的被信任的证书(上面有截图),所以没有必要自行颁发证书。并且,如果是自行加密用途,可以在服务器记录公钥私钥即可。并没有必要颁发证书来完成安全用途。
还有所举的那些银行网站,都是一堆没有节操的公司。招行就没有安装任何证书,我使用招行专业版好好的。
证书具体有些什么用途?
HTTP SSL加密(即HTTPS协议)是证书目前最为广泛的一个用途。通过服务器SSL证书的身份验证,我们可以确认我们访问的服务器是正确的网站。涉及到资金和帐号的网站,一般都使用HTTPS协议,例如支付宝、网上银行、Google登录等。
同时,HTTP SSL加密可以确保浏览器与服务器之间的通信,不被任何第三方窃取和监听。这保障用户数据的安全,所以Gmail目前已经全面使用HTTPS协议。
中间人攻击,仅仅是根证书污染可能造成的威胁之一,也是上次CNNIC证书加入到根证书中人们所最担心的事情。
简单来说,中间人攻击的主要目的是窃取HTTPS传输过程中的内容。
具体的做法是通过网络劫持(网络运营商非常容易做到,如电信联通),在用户与目标网站之间加设代理服务器。由于HTTP协议传输过程中是不加密的,所以可以窃取所有传输的资料并进行篡改。
事实上电信一直在干这事儿,莫名其妙的电信广告弹窗就是这样冒出来的。
但由于HTTPS协议使用了证书对传输过程进行了加密,并且对服务器进行身份验证,所以简单的网络劫持加设代理便宣告无效。
但如果此时,由某个用户信任的根证书颁发机构,给这个加设的代理服务器进行身份认证,并提供传输加密。那么用户通过HTTPS协议访问网站时不会有任何的异样,而以为是安全的。
所以CNNIC根证书为什么会受到广泛的质疑,就是因为这个机构和中国电信是一个窝的。故而大家非常担心他会串通电信进行中间人攻击。
钓鱼网站伪造,尽管中间人攻击可以直接窃取用户传输的内容,如帐号密码,但是中间人攻击仍然需要对网络进行攻击来加塞代理服务器。
而伪造一个钓鱼网站,例如什么则简单的多。证书颁发机构可以可以确认这个网站的身份,即使你对这个钓鱼网站存疑,但是如果浏览器告诉你这个网站是安全的,你会怎么做呢?
伪造程序签名,证书不仅仅可以确认网站的身份,以及进行传输的加密,也可以确认应用程序发布者的身份,并让你信任它。
这是一个经过签名的应用程序请求系统权限的时候的提示:
&img data-rawheight=&289& data-rawwidth=&466& src=&https://pic1.zhimg.com/345e9b8d05dbfe7ed7cef_b.jpg& class=&origin_image zh-lightbox-thumb& width=&466& data-original=&https://pic1.zhimg.com/345e9b8d05dbfe7ed7cef_r.jpg&&
可以看到,与上面支付宝的控件请求系统权限不同,这个提示的底色已经变成了蓝色,表示这是操作系统信任的一个程序,点击查看证书信息,我们可以看到这个应用程序的证书:
&img data-rawheight=&667& data-rawwidth=&484& src=&https://pic4.zhimg.com/9ea34cd7_b.jpg& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic4.zhimg.com/9ea34cd7_r.jpg&&
这个证书可以确保这个应用程序是由Disc Soft Ltd公司发布的,并且没有被任何第三方篡改过。这意味着,这个程序包含病毒的可能性取决于Disc Soft Ltd这个公司的节操。当然一般国外软件公司的节操我还是信得过的。所以我可以放心的点击是。
而这个Disc Soft Ltd公司的身份验证,则是由上面的根证书颁发机构来确认的。
其他许多场景
在最后,我想再次强调一下,证书,是现代软件和互联网行业,最为简单便捷的确保安全的方案。其广泛运用于:软件、网站、邮件、文档等等等等的加密和验证领域。
尽管证书的应用目前并不广泛,但是证书却是未来互联网的信任的基石。
而这个基石的基础,就是用户对根证书颁发机构的绝对信任!
请注意我这里使用的是绝对信任,因为,根证书颁发机构的证书,不能被任何组织或机构所验证,因为几乎一切互联网上的验证机制,都是通过证书体系来完成的。
我举一个栗子,我如何验证我电脑上的这个VeriSign的根证书是正确的?我们可以想出很多种办法:
1、直接问我,或者问某个安全领域的砖家。
你怎么知道我或者砖家不会骗你?万一我收了别人的钱呢?或者我也被人骗了呢?
2、去VeriSign网站查询。
你怎么知道这个网站是VeriSign的?有HTTP,有绿色的小锁?问题是这些都是基于你所信任的根证书的。如果你的根证书是假的,他肯定会弄个假的网站给你认证了,反而把那个真的网站给认证成不安全的。
3、去第三方网站下载证书的校验码。
哪个网站是可信的?没有证书的情况下,所有的网站都可能被劫持,被篡改。
所以对于根证书的绝对信任,构建了整个证书体系,也是整个互联网的安全体系。
而支付宝不告知用户自动安装根证书的行为,是从根本上破坏互联网安全的行为!
那么,如果支付宝不干坏事,我信任支付宝,是否这个根证书就毫无风险?
不是的,整个互联网和软件的安全,构筑在对根证书的绝对信任上。任何一个根证书的植入,都给用户带来了一分威胁。即使支付宝不干坏事,但如果支付宝的这个证书的私钥哪天被泄露了,后果会怎样?!
你信任支付宝,但你信任支付宝对别人的认证么?
说到这里淘宝天猫卖家要笑而不语了。。。。
最后解答一下,为什么说支付宝这种行为,比起12306来说更为恶劣,因为12306也要求安装根证书才能用啊。两点:
1、这个根证书对于支付宝的使用不是必需的,而对于12306而言,在某种程度上是必须的(否则浏览器会自动阻止12306网站的HTTPS访问)。
当然,事实上12306也有麻烦自己的方案,但是国企你懂的。
2、12306是让你自行决定安装与否,这样,在使用后,你可以自行卸载或作相应处理,支付宝是强行安装,完全没有告知。
这好比,12306是给你家做装修的装修队,他说我们在这里搞装修要一个多月,你把门钥匙给我,跟门口的保安说一声让我们进来,我们好出去买材料,出出进进的方便。
支付宝呢?支付宝是你请他来你家后,转身就把你家的门钥匙配了一份,还偷偷跟你保安说,那个用户是我哥们儿,他让我随便进,还有我的朋友,也可以随便进。
尽管12306这种麻烦自己不如麻烦用户的的行为不值得提倡,但是支付宝这种不麻烦用户,把用户家当自己家的行为,则是更为无耻,没有下限的行为。
反对,不会显示你的姓名
首先,根证书体系是一个广泛认可并且通行的做法,支付宝需要遵守这个游戏规则,只有守规则你的信用才能被世界认可。就好比有了国家法律,你说我不遵守,我守我支付宝自己的法律一样,也许你的法律更加严格,但是出了门,别人不认可。再者,支付宝是否有权和…
首先,根证书体系是一个广泛认可并且通行的做法,支付宝需要遵守这个游戏规则,只有守规则你的信用才能被世界认可。就好比有了国家法律,你说我不遵守,我守我支付宝自己的法律一样,也许你的法律更加严格,但是出了门,别人不认可。再者,支付宝是否有权和有能力颁发根证书,如果有,做认证去,成为一家国际通行的证书颁发机构,如果没有,那还有什么好说的,有多远滚多远。最后,未经许可或提示,私自注入根证书,视同后门操作。鄙视之
反对,不会显示你的姓名
没人邀请我,我自己来回答一个这个问题, Certificate Authority 是重要的安全根证书。一旦发生漏洞或者被入侵,私匙泄露等等将会造成不可预料的损失。在每一个操作系统
linux/unix/win/android/ios 都会内置根证书,往往会有几十个认证机构的根证书被植入…
没人邀请我,我自己来回答一个这个问题, Certificate Authority 是重要的安全根证书。一旦发生漏洞或者被入侵,私匙泄露等等将会造成不可预料的损失。
在每一个操作系统 linux/unix/win/android/ios 都会内置根证书,往往会有几十个认证机构的根证书被植入了你的电脑里。
这些证书非常的重要, 根证书是构建了整个互联网安全的信任体系。
它们的逻辑关系是这样的。 操作系统信任它们——& 它们信任其他它们签发的证书——》我们信任操作系统。 这就构成了一个很严密的PKI信任体系。
于是这些根厂商可以用它们的根证书,颁发第二级可信任证书。(中级)一般而言再由第二级的证书去签发给其他需要认证的厂商/用户。 由于电子签名的不可更改性,不可抵赖性,所以现在很多软件发行商都会找植根的厂商去给自己的生成的N级证书签名。最后用自己生成N级证书去给自己的软件/网站签名。
经过这些厂商签名的软件/网站 就可以附加自己的公司名字。确保最终用户收到的是未经更改的文件。 (有一些操作系统,对于有可信赖签名的软件的权限往往会放大)比如 Windows 内核的驱动,必须有 verisign 的交叉签名。 又或者 几年前的塞班之流的。软件都是需要可信赖签名的。
除了对软件签名以及防止钓鱼证明你访问的就是某某网站之外,证书用在网站上还还有一个用途,就是对网页传输的加密。使用SSL 技术,可以确保用户提交/下载的信息,在客户端前未经篡改。即…… 中间传输的内容的是加密的,即使在网关监控数据,你也无法解出真正传输的明文是什么东西。
&img src=&https://pic2.zhimg.com/916b8baafdd_b.jpg& data-rawwidth=&493& data-rawheight=&222& class=&origin_image zh-lightbox-thumb& width=&493& data-original=&https://pic2.zhimg.com/916b8baafdd_r.jpg&&
上图的意思是geoTrust 信任该网站,且你访问的内容是加密传输的。
那么, 如果有一家掌握根证书的公司,恶意给别人的网站颁发证书,会怎样呢?
这里说一个好玩的故事,有一个安全公司叫 DigiNotar ,在windows操作系统里有它的根证书。它的服务器被入侵,证书的 key 被盗。于是有黑客就用它的key去签发证书(理论上可以胡乱认证,把
认证为 google inc 。 把
认证的 gmail 邮箱 ) 普通用户看到网站是通过https 链接的,并且有根证书的认证,就会潜意识的以为这个网站的安全的。
于是证书key 被盗后。微软紧急发布了一个补丁。
补丁中宣布了DigiNotar的根证书无效。原文如下:
Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书,DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户(包括 Internet Explorer 用户)执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞,但是此问题会影响 Microsoft Windows 的所有受支持版本。
回到题目的担忧吧,我觉得题主的担忧不是多余的,专业的根证书厂商自身有很多规范的比如 verisign 或者 getrust comodo globalsign 等在给每一个证书签发之前都会仔细审核,认定申请人的资料,是否对应。并且给出一定的担保赔付。因为它们专业,所以由它们签发的证书,往往会出错的概率很小,几乎没有。
另外,我查看了一下支付宝的根证书,事实上,很多公司都会往用户的操作系统里写入的一个根证书,我想比如 招商银行 工商银行,甚至农业银行都会写入一个证书吧。 这个证书是用于U盾的认证服务。以及在线支付安全。我相信这些公司这样做的目的,也是为了用于的资金更加安全,所以由自己掌握根证书,一旦发生安全问题,不会那么被动的。
基于上考虑, 无论是支付宝还是12306或者各大银行植入根证书的行为是可以接受的。因为权衡利弊得失,我认为植入根证书的好处,大于它的风险。
当然,我强烈建议楼主,每次打开使用SSL 加密的网站之前,点一下浏览器的小锁。
&img src=&https://pic3.zhimg.com/d6740929caf930bebd8e_b.jpg& data-rawwidth=&761& data-rawheight=&123& class=&origin_image zh-lightbox-thumb& width=&761& data-original=&https://pic3.zhimg.com/d6740929caf930bebd8e_r.jpg&&
看看它的证书是谁签发的(比如 gmail 的根证书是 geotrust 中级证书是 Google Internet Authority ,如果它的证书是一个你不知名的证书机构颁发的(比如,
有一天你看到 12306的那个SRCA 证书,给
签名,这种情况下,你觉得可能吗,不可疑吗?),如果你真看得到那么一天请不要输入任何的账户密码信息。并且更换网络连接查看你是否被劫持。只要小心,警觉,懂得一定的安全知识很大程度上是可以防范TLS 中间人攻击的。
反对,不会显示你的姓名
看来我得赶紧把我那机器上面支付宝插件给枪毙了,在virtualbox里面用
看来我得赶紧把我那机器上面支付宝插件给枪毙了,在virtualbox里面用
反对,不会显示你的姓名
谢邀请。该文似乎是没有喷对点,如果真的要喷根证书,最应当喷的当然是12306的那个根证书了。OSCCA是国家商用密码办公室,是我国专门负责商用密码的许可和管理的机关单位,也算是一个专业从事信息安全相关工作的机构,相对来说,不过是在根证书的保护…
谢邀请。该文似乎是没有喷对点,如果真的要喷根证书,最应当喷的当然是12306的那个根证书了。OSCCA是国家商用密码办公室,是我国专门负责商用密码的许可和管理的机关单位,也算是一个专业从事信息安全相关工作的机构,相对来说,不过是在根证书的保护和使用上,他们都比12306的根证书可靠得多。
我并不了解这个OSCCA的根证书是何时进入到我的电脑的,不过我打开看了一下我的证书管理器,别的程序往里面添加根证书还真不少,除了OSCCA的这个,还有阿里巴巴、支付宝各有一个,工商银行有四个,KZTechs(就是SREng那个软件)有一个,财付通有一个,从这一点上看,自行建立CA并且发布根证书感觉像是一个比较流行的做法。
不过换一个角度来看,这种做法确实会存在一定的问题。我们之所以相信一个机构的根证书,是因为我们相信这个机构不会使用这个证书来作恶,也不会将这个证书所能派生的权力颁发给坏人,并且拥有足够的能力保护这个根证书的安全,不会被别人破解或者窃取。一旦这个根CA的能力达不到要求,滥用权力或者没有保护好根证书,那么整个信任体系都会土崩瓦解。利用根证书作恶最典型的就是TLS中间人攻击,详见《》
所以,我觉得企业或者机构应当为这个互联网世界的安全负起一份责任,除非确保自己有足够的能力保证这个根CA的权力不会被滥用或者窃取,否则不应当为了省事或者其他原因发布根证书。而至于这个证书,我觉得倒不至于那么敏感的感觉全世界都在监视你,毕竟要监视你的方法多了去了,找一个非根CA的证书自己签发一个也是可以达到的,比如北京数字证书认证中心就是一个从事数字认证方面的国企,真要窃听你找他们帮签一个不就好了,大张旗鼓植入一个根证书做什么?
反对,不会显示你的姓名
一句话,随便加根证书的都是臭流氓。SSL的安全是建立在根证书靠谱的前提下,任何根证书的不靠谱都能破坏整个SSL的安全。所有以自己堂堂正正不怕监控为由拒绝承认这个安全隐患的请自行裸奔,实名上网,主动把所有网络活动数据备份交给平平安安,否则都是自欺…
一句话,随便加根证书的都是臭流氓。SSL的安全是建立在根证书靠谱的前提下,任何根证书的不靠谱都能破坏整个SSL的安全。所有以自己堂堂正正不怕监控为由拒绝承认这个安全隐患的请自行裸奔,实名上网,主动把所有网络活动数据备份交给平平安安,否则都是自欺欺人。
反对,不会显示你的姓名
我不同意某些回答的看法。给用户“颁发”证书是不会造成用户的损失,只会造成颁发者的麻烦。问题是,原po所指出的不是“颁发”证书,而是添加“受信任的根证书颁发机构”,这是完全不一样的。首先,禁用此证书确实会导致一些网站访问时提示不被信任的证书颁…
我不同意某些回答的看法。
给用户“颁发”证书是不会造成用户的损失,只会造成颁发者的麻烦。
问题是,原po所指出的不是“颁发”证书,而是添加“受信任的根证书颁发机构”,这是完全不一样的。
首先,禁用此证书确实会导致一些网站访问时提示不被信任的证书颁发机构,需要手工确认才能继续访问(有的浏览器会直接禁止访问)。
其次,这个证书不管是由支付宝签发还是由国家密码管理局签发,都不影响用户支付宝的安全性,除非颁发者的私钥被盗了——当然我们知道这极不可能。
第三,使用这个证书有没有风险?答案是有!为什么呢?首先解释一下什么叫中间人攻击。就是说,你发给目标网站的数据被中间人拿到,中间人发给目标网站,再把目标网站的回应发给你,神不知鬼不觉地偷到你的数据。这怎么办?通常使用https这样的加密连接,因为中间人没有解密此连接所需的私钥,所以它虽然传送了数据,但无法知道数据里面是什么。那么,根证书和这个有什么关系?答案是:根证书持有者,或根证书持有者直接授权的人,可以对https进行中间人攻击。
这怎么做到呢:比如说,你访问google,google使用的是GeoTrust颁发的证书,浏览器验证一下,发现没有问题,便允许你连接它。现在,一个中间人,把Google发来的证书掉个包,变成XXX颁发的证书(当然这个中间人得直接获得XXX的同意才有这个假证书),而你的浏览器认为XXX也是可信任的,便信以为真,你和中间人的整个连接将使用XXX的证书进行加密。中间人便偷到了你的数据,再伪装成你去和Google的服务器进行通讯。这样,你的gmail里面有什么,中间人就一清二楚了。
结论:添加一个新的根证书带来的风险是:证书颁发者,或其直接授权者对你和你所访问的其它网站之间的加密连接可以进行中间人攻击。当然,证书颁发者没事攻击自己干什么?你的支付宝是没有风险的,但是你的其它服务,就会面临掌握根证书的人的攻击风险。
既然没了这东西,你的支付宝可能要不能用。那么我的建议是:你如果认为自己有受监控的可能,就用一个虚拟机装支付宝,主要系统删掉这个证书机构;如果你认为自己不会受监控,行为堂堂正正,就什么也不用管。我个人是不怕监控的,所以我就不删了。
反对,不会显示你的姓名
上面洋洋洒洒说了那么多,都没有触及到本质问题。所谓个人信息安全,你以为国家犯得着用这么麻烦的手段么?Too simple, CIA / NSA
直接找 Yahoo / Google 索要用户信息的段子没听过?为什么国内公司都要安装自己的根证书?事实是,要为用户签发证书,你就必…
上面洋洋洒洒说了那么多,都没有触及到本质问题。所谓个人信息安全,你以为国家犯得着用这么麻烦的手段么?Too simple, CIA / NSA 直接找 Yahoo / Google 索要用户信息的段子没听过?
为什么国内公司都要安装自己的根证书?
事实是,要为用户签发证书,你就必须具备 CA 资格,走正常的证书链申请流程,你很难获得这一资格。所以各厂商就搞自签名根证书咯,使用自签名证书也是基于信任的,简单地说,如果你无法信任支付宝的安装程序,请不要使用。
删除某个厂商的根证书将导致无法安装或更新数字证书。
12306 则是另外一个问题。
12306 无需给用户签发证书,所以根本不需要搞自签名的根证书。 曾经发起过一个给12306捐证书的活动 (),只要买个便宜的证书就够了,购买者只需证明网站为自己所有即可。
update: 获得 CA 资质有多难?
同学提醒,Google 已经获得了 CA 资质(请访问
了解细节)。商业公司能牛逼成这样,全世界也没几家。以前 Google 证书都是一个叫 Thawte 的 CA 颁发的。国内具备 CA 资质的公司好像有一两家,都是有国家背景的(当然 CNNIC 也获得了)。
想象一下,在一个具有普世价值的环境里,你说你想给别人发证书,你得具有多强的权威性?这对普通商业公司很难做到。
update again: To
呵呵,我在一楼(目前)回答里面评论了一句:
「ROOTCA是国家的」,同学你说话要负责任哦,信口开河图一时爽快有意思么?
就收到了默默删除 + 屏蔽本人 的待遇:
&img src=&https://pic2.zhimg.com/e822ff823d830f78cc0a_b.jpg& data-rawwidth=&556& data-rawheight=&282& class=&origin_image zh-lightbox-thumb& width=&556& data-original=&https://pic2.zhimg.com/e822ff823d830f78cc0a_r.jpg&&同学,你的气度呢?同学,你的气度呢?
反对,不会显示你的姓名
我是针对那个让禁用rootca的说法来唠叨两句的。大家需要注意,这个所谓rootca是根ca给自己的cn项的名字,不一定就是这个宝的,其他的ca也可能用这个,比如说哥,创建根ca的时候就习惯起这个响亮的名字。小伙伴们,删除前最好备份。
我是针对那个让禁用rootca的说法来唠叨两句的。大家需要注意,这个所谓rootca是根ca给自己的cn项的名字,不一定就是这个宝的,其他的ca也可能用这个,比如说哥,创建根ca的时候就习惯起这个响亮的名字。小伙伴们,删除前最好备份。
反对,不会显示你的姓名
12306支付环节的
是VeriSign颁发呵呵。
12306支付环节的
是VeriSign颁发呵呵。
反对,不会显示你的姓名
16 22衡量下自己要传输的价值和需要保密的手段。 ==============OSCCA是国密局吧。各地地方CA就是国密局签出来的吧。这个体系是可信的。
衡量下自己要传输的价值和需要保密的手段。
==============
OSCCA是国密局吧。
各地地方CA就是国密局签出来的吧。
这个体系是可信的。
反对,不会显示你的姓名
看得我毛骨悚然,立即将马云加入心中的黑企业名单。完全赞同@的答案。我再以更通俗的语言描述一遍数字证书。争取让更多人能很简单地明白。数字证书,就是一张数字身份证。这个身份证不是发给个人的,而是发给网络上的机构的。而大多数情况下,验证身份…
看得我毛骨悚然,立即将马云加入心中的黑企业名单。
完全赞同@的答案。我再以更通俗的语言描述一遍数字证书。争取让更多人能很简单地明白。
数字证书,就是一张数字身份证。这个身份证不是发给个人的,而是发给网络上的机构的。而大多数情况下,验证身份证的不是用户,而是用户的操作系统或应用程序。
以下的行文中请自行将“身份证”替换成“数字证书”。
和人的身份证一样,数字证书的主要作用之一就是证明自己的身份。在用户浏览器器访问你的网站时出示“身份证”(HTTPS访问),在你发布程序或其他材料时附上“复印件”(数字签名),才能让用户相信访问的网站确实是你的,接收到的程序确实是你发布的,而不是来自某个冒牌的骗子。
如果有身份证的机构无节操怎么办?答案是,如果被发现,他们的身份证马上就会被签发机关吊销,变成废物。
数字证书这个“身份证”,任何人都可以依照公开的算法自行生成,但是自造的“身份证”是不会被别人的电脑承认的。签发有效的“身份证”的,不是政府机构,而是专门的“证书签发机构”,缩写是CA。CA有一些是企业,有一些是非营利组织。他们签发的“身份证”之所以有效,是因为上面有他们自己的“身份证”的“复印件”(数字签名)。想要“身份证”,不仅需要向CA申请并接受审核,而且,大多数时候,是要付钱的,价格还很黑。
CA本身无节操怎么办?答案是,别忘了他们自己也要有“身份证”呢。那CA本身的“身份证”找谁签发?答案是更高级的CA。而最高级的CA,就是“根证书CA”,他们“身份证”已经不能通过更高级的“身份证”来验证,他们的“身份证”是自己发给自己的,是整个系统的根基。一般来说,根证书CA的“身份证”一般是预埋在操作系统之中的,靠M$等大厂帮我们验证。
当操作系统需要验证“身份证”的时候,就会检查“身份证”是谁所签发,一级级上推能否最终找到一个已知的根证书CA,检查“身份证”的有效时间,检查“身份证”上的名字与拥有“身份证”的机构的名字是否一致等一系列因素。只有挑不出任何毛病的时候,才会承认这张“身份证”是有效的。
根证书CA必须是用户能够绝对信任的,富有信誉的机构。因为用户的电脑将他们加入信任名单后,就意味着信任他们签发的所有“身份证”,以及拥有他们签发的“身份证”的下线CA签发的所有“身份证”,以及下线的下线的CA签发的“身份证”……
再强调一遍,对于根证书CA直接签发的“身份证”,用户电脑是无条件相信的。除非用户拥有相应知识,手动调整根证书列表,否则根证书CA任何无节操行为,用户的操作系统都不会警觉。
因此,添加根证书CA到操作系统中后,这个CA说谁是好人,你的电脑就相信谁是好人,完全不会怀疑。
因此,添加根证书必须要有管理员权限,因为这是在修改安全的根基。
因此,额外添加根证书CA是一个风险极大的行为。除非你很清楚自己在做什么,否则不要做!
因此,额外添加根证书CA是一个风险极大的行为。除非你很清楚自己在做什么,否则不要做!
因此,额外添加根证书CA是一个风险极大的行为。除非你很清楚自己在做什么,否则不要做!
因此,偷偷将自己添加成根证书CA,是刷新下限的行为,是为自己预留比地球还大的后门。
12306没有这么干,他是明确要求添加,而不是偷偷添加。
腾讯这个臭名昭著的公司没干过。
百度这个臭名昭著的公司没干过。
360这个臭名昭著的公司没干过。
上一个这么干的是CNNIC,但至少CNNIC还说服了微软,是通过微软的Windows更新把自己加根证书CA的。
前几年一家欧洲的CA的“身份证”不慎泄露,导致黑客签发了一堆流氓证书。于是这家CA破产收场。
而这次,马云亲手为我们刷新了下限。Good job,外星人。
反对,不会显示你的姓名
排名第一的回答怎么说呢,原理讲的确实很透彻,但是你忽略了信息安全社会工程学的部分。首先,你觉得alibaba在耍流氓给你私自装根证书,其实只是没有预装在操作系统里罢了,windows预装了很多根证书,但是没有一家是中国的。这点可以理解吧,如果你需要进行…
排名第一的回答怎么说呢,原理讲的确实很透彻,但是你忽略了信息安全社会工程学的部分。
首先,你觉得alibaba在耍流氓给你私自装根证书,其实只是没有预装在操作系统里罢了,windows预装了很多根证书,但是没有一家是中国的。这点可以理解吧,如果你需要进行整个安全体系的部署,却需要受制于一家国外的公司,其中的安全风险有多少呢。
其次,你为什么不信任alibaba颁发的证书,却对verisign的证书情有独钟呢?本质上这两者无差别,只不过verisign在业界做的确实规范、安全。alibaba由于这并不是它的主要业务,所以并没有以此为赢利点,并没有大家宣传。
第三,证书体系的理论研究已经非常透彻了,利弊都可以在文献中可查阅。所以由他家来做根证书从安全风险上并不比具有根证书资质的公司差到哪里。
反对,不会显示你的姓名
阿里塞了三个根证书,腾讯也塞了一个,很好发现,点预期目的是“所有”的,除了微软就是它们了,脸太大,藏不住
阿里塞了三个根证书,腾讯也塞了一个,很好发现,点预期目的是“所有”的,除了微软就是它们了,脸太大,藏不住
反对,不会显示你的姓名
就两件事:1、安全体系失控 2、这是偷偷摸摸干的 具体见排名第一的答案~
就两件事:1、安全体系失控 2、这是偷偷摸摸干的 具体见排名第一的答案~
反对,不会显示你的姓名
你(用户)和铁路之间的通信内容必然是铁路知道的,包括你在12306网站的用户名密码购票信息等,铁路有必要再制造一个假证书来截留你和铁路通信的数据吗?12306网站生成证书就是用语加密用户与12306的数据通信,这些加密都是为了不使第三方破解通信的内容,…
你(用户)和铁路之间的通信内容必然是铁路知道的,包括你在12306网站的用户名密码购票信息等,铁路有必要再制造一个假证书来截留你和铁路通信的数据吗?12306网站生成证书就是用语加密用户与12306的数据通信,这些加密都是为了不使第三方破解通信的内容,什么是第三方?第三方就是黑客、流氓软件、中间路由等等想知道你银行卡密码的一些人,第三方一旦知道了你和铁路的通信内容,就会导致你的损失,这也是最近的新闻〈12306〉密码失窃的重大影响,已经有新闻指出,因为你(用户)滥用抢票软件(信任流氓软件),导致你在12306的用户信息被第三方掌握,这就是泄密的原因。
没有真正安装根证书的人则不会知道的更详细。旧的12306证书错误是因为证书签名的网址和当前访问的网址不对应,导致网站不受信任。现在这个问题已经修正了。
&img src=&https://pic1.zhimg.com/f5ad02c63cab0b8cad149c_b.jpg& data-rawwidth=&1035& data-rawheight=&686& class=&origin_image zh-lightbox-thumb& width=&1035& data-original=&https://pic1.zhimg.com/f5ad02c63cab0b8cad149c_r.jpg&&没安装12306的根证书会出现上图。没安装12306的根证书会出现上图。
根安装过程如下:
1)打开certmgr.msc
2)选受信任的根证书一栏。
3)选菜单:任务-&导入:选择12306的根证书:srca.cer,出现下面窗口。
&img src=&https://pic1.zhimg.com/4e2a2ea530e6b46dbcc3a70_b.jpg& data-rawwidth=&497& data-rawheight=&366& class=&origin_image zh-lightbox-thumb& width=&497& data-original=&https://pic1.zhimg.com/4e2a2ea530e6b46dbcc3a70_r.jpg&&
提示说系统无法确信这个根证书是不是真的是从12306那里得到。(这里存在一个安全隐患,后面详细分析)
4)在12306的证书安装指南里指导你在上面这个窗口里选”是(Y)&,于是证书安装完毕。
5)可以查看12306的证书,有效期从到
&img src=&https://pic4.zhimg.com/e6f44dbbc8c85f0b5179c3_b.jpg& data-rawwidth=&484& data-rawheight=&594& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic4.zhimg.com/e6f44dbbc8c85f0b5179c3_r.jpg&&&img
src=&https://pic2.zhimg.com/0ae0f502b5d5d5cc17def5_b.jpg& data-rawwidth=&484& data-rawheight=&594& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic2.zhimg.com/0ae0f502b5d5d5cc17def5_r.jpg&&上面这张图表明,srca是顶级根证书。上面这张图表明,srca是顶级根证书。
6)12306网站再打开是下面图片:
&img src=&https://pic3.zhimg.com/e3a78a7f9e03ccdacb14e_b.jpg& data-rawwidth=&1648& data-rawheight=&927& class=&origin_image zh-lightbox-thumb& width=&1648& data-original=&https://pic3.zhimg.com/e3a78a7f9e03ccdacb14e_r.jpg&&
现在12306存在的一个安全隐患是:根证书的分发问题。这个根证书,通过网络下载而来,你不知道它是不是真的是从12306网站那里传输过来的,这时候就产生了中间人攻击的可能性,但只是可能,实际上没那么慌,可能性几乎等于零。
这个网址列出了中间人攻击的详细解释:
简单说中间人攻击就是黑客伪造一个证书,文字信息和12306的根证书一样,欺骗终端用户(你)去下载(有很多办法,比如第三方网站上提供下载;或者利用DNS污染,让你跳到一个错误的钓鱼网址去下载;qq传输等),并让用户误以为是12306的证书并安装到“受信任的根证书&里去。当用户安装了假的根证书以后,黑客还要利用dns污染之类的方法,让用户试图访问的时候,跳转到一个钓鱼网址(错误的ip地址),然后才能套取用户的登录密码。这种攻击可能在用户通过公共wifi服务上网的时候出现,当你登入到一个不知道是不是可信的wifi热点的时候,数据有可能被黑客在路由上做手脚。
实际上要实现上面的攻击,不是那么容易。假设你已经安装了正确的12306根证书,但黑客把你导向一个钓鱼网站(伪造的12306),这时就会出现:
&img src=&https://pic1.zhimg.com/6c9564fe7fcc4adf5d94b073b339cd14_b.jpg& data-rawwidth=&600& data-rawheight=&397& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic1.zhimg.com/6c9564fe7fcc4adf5d94b073b339cd14_r.jpg&&因为你没有安装黑客伪造的根证书,所以又会指示你重新安装根证书(假的)。或者黑客网站根本不要求你访问的时候用https,那就没证书问题了。因为你没有安装黑客伪造的根证书,所以又会指示你重新安装根证书(假的)。或者黑客网站根本不要求你访问的时候用https,那就没证书问题了。
实际上国内很多网站都有自签名的根证书,比如支付宝:
&img src=&https://pic4.zhimg.com/bcbd015b65b_b.jpg& data-rawwidth=&491& data-rawheight=&591& class=&origin_image zh-lightbox-thumb& width=&491& data-original=&https://pic4.zhimg.com/bcbd015b65b_r.jpg&&&img
src=&https://pic3.zhimg.com/a7dcb17c9e_b.jpg& data-rawwidth=&486& data-rawheight=&597& class=&origin_image zh-lightbox-thumb& width=&486& data-original=&https://pic3.zhimg.com/a7dcb17c9e_r.jpg&&
比如CNNIC,中国互联网信息中心
&img src=&https://pic4.zhimg.com/24f8f019fe94a3f096cef_b.jpg& data-rawwidth=&484& data-rawheight=&594& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic4.zhimg.com/24f8f019fe94a3f096cef_r.jpg&&&img
src=&https://pic1.zhimg.com/7f02fde8de0_b.jpg& data-rawwidth=&484& data-rawheight=&594& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic1.zhimg.com/7f02fde8de0_r.jpg&&这些根证书都不是预先安装在windows系统里的。所以证书的来源有被黑客利用的可能。这些根证书都不是预先安装在windows系统里的。所以证书的来源有被黑客利用的可能。
解决证书可信度的办法有几条要点:
&img src=&https://pic3.zhimg.com/fb_b.jpg& data-rawwidth=&497& data-rawheight=&366& class=&origin_image zh-lightbox-thumb& width=&497& data-original=&https://pic3.zhimg.com/fb_r.jpg&&1)这个提示框里红圈处提供了证书指纹,所以只要真正的12306、支付宝等网站在它的页面提供根证书的指纹,你可以通过对比你得到的证书的指纹是不是和网站上提供的一样,来确定证书的真实性。
2)安装根证书不要在第三方网络环境里进行,也就是说不要在公共网吧、公共wifi、未知热点等场所下载和安装证书。可信的网络环境有3G、4G联网,家里独享带宽的光纤或ADSL线路。
3)避免在个人电脑里安装第三方来路不明的,不可信的软件。
4)手机生产商在安卓手机里预先安装12306、阿里巴巴等网站的证书。
遵循以上这些准则,黑客发起中间人攻击的可能行就没有了。
12.21修改,,手机编辑的有点逻辑混乱%&_&%首先肯定有危害的说法。然后感谢的回答,确实涨知识了,O(∩_∩)O。这个问题的关键在于支付宝私自添加根证书,是否有危害,危害大不大,对吧。如果支付宝网站的服务器不被黑的话,应该不会通过此途径黑我们…
12.21修改,,手机编辑的有点逻辑混乱%&_&%
首先肯定有危害的说法。
然后感谢的回答,确实涨知识了,O(∩_∩)O。
这个问题的关键在于支付宝私自添加根证书,是否有危害,危害大不大,对吧。
如果支付宝网站的服务器不被黑的话,应该不会通过此途径黑我们的电脑,而且别人想黑你的话,肯定比黑那些企业的简单多了 ,道哥对这个问题应该有自己独特的看法,希望大神分享一下 ,再者支付宝这个财神,肯定会赔偿你的损失嘛……
所以,感觉这个东西是可有可无的东西。
另外就是隐私问题。
所以,题中有个关键词“私自”。所以大家突然听到就感觉很不爽了。
当然这也是大家隐私意识的提升,这点值得肯定。
但每天,你的周围那么多摄像头,那么多眼睛,甚至头顶上的卫星可以清晰的看到你,难道你就不出门了么?
网络世界在现行的法制下,更是很难有边界的。所以,网络上那些事,笑笑就过去吧。想想明星们的生活,你就偷着乐吧。
隐私尽量不要放在网上就好了。
我想表达的是没必要那么杞人忧天(不要听到核辐射,就想跑去买食盐。不要三人论虎就成虎,或许只是只霸气的猫呢,做什么都要有自己主见,不要随波逐流。然后把心思放到自己该放的那一块上。术业有专攻,人人先把自己的事做好了,再把自己不会的事给擅长的人做,这样才是效率高的方法。
以下纯属虚构,博君一笑。
支付宝不好,可以不用。
360流氓,可以卸载。
虽然自己手机,电脑里塞满了支付宝钱包,天猫,360等一系列产品,也似乎先暂时忘记了。
然后便是一场狂欢,向周围炫耀般的吐槽,好像自己发现了新大陆一般。
心满意足hi够后,又继续心安理得的享受着那些免费的服务。
如果可以你可以先卸载完这些软件,然后最好可以找到一些超越它的替代品。
那还是比较有骨气,有说服力,不会耽误大家的时间。
那些发烧友孩纸是在迷糊的为替代品铺路么?
巨头打架,吾等还是闪开点好。对于那些乐此不疲的孩纸,还是先摆正自己吧。把自己分内的事做好。还有那些搬小板凳看戏,添油加火的同学。小心耽误了自己的时间,期末挂科哈)(^_^)Y
习大大说的好,不造谣,不传谣,空谈误国。
作为一个听众,抑或作为一个自媒体时代的传播者。我们应该要有自己的主见和坚守。这是最起码的要求。一屋不扫,何以论天下。
Bye bye.学生狗再不预习就要挂科了。
连裤衩都没有穿还有脸出来讲安全!!!你叫或者不叫监控就在那里。
连裤衩都没有穿还有脸出来讲安全!!!你叫或者不叫监控就在那里。
反对,不会显示你的姓名
看来只有期望ios和apple pay来教婊做人了。。。
看来只有期望ios和apple pay来教婊做人了。。。
没有更多推荐了,
