Re: [求救] Mail.app 的 Verify Certificate 警告

看板MAC作者yllan (藍永倫)時間13年前 (2011/05/05 23:30)推噓5(5推 0噓 0→)

留言5則, 5人參與討論串2/2 (看更多)

※ 引述《Equalmusic (Cosmajoonitist)》之銘言： : 我在設定公司信箱的時候出現了警告 : 想請板友幫忙解釋一下這個 certificate 是怎麼運作的 : 比如 Mail.app 怎麼 verify servers : 還有為什麼我想連上某個 server...卻有可能連到某個偽裝的 server？ : 要怎麼避免這種狀況呢？感謝！有可能啊，例如說你的 /etc/hosts 被改寫，或者在外面用莫名的無線網路，你以為是連真 server，結果惡意AP竄改封包，導向假 server，再把回應的封包改成讓你以為是真 server 來的。你的電腦 <--> 惡意AP <--+ x 真正的 server | +--> 假造的 server certificate 就是為了避免這種狀況。目前 web 和 mail 用的 certificate 都採用我那篇講的 CA，也就是找個有公信力的機構來背書。 Certificate 運用一項叫做「簽章」的技術，可以想像成簽名一樣，他的特性是其他人很難產生出代表你的簽名，所以每個人只要看到你的簽名，就可以相信說這份文件是你認可的。你可以想像 certificate 是一張紙，上面的內容是「我是EqualMusic」，但光這樣隨便哪個人都可以一張紙上打這幾個字，對吧？如果這張紙上面有 Steve Jobs 的簽名，你大概就可以相信了。因為現在大部分電腦裡都有 SJ 的簽名資料 (CA Root Cerfiticate)，所以看到這張有 SJ 簽名的憑證，我就相信了。不過因為 SJ 不是慈善事業，請他簽名還要錢咧。所以有時候你會發現這張 certificate 上除了「我是 EqualMusic」外，只有一個不知道是誰的yllan潦草簽名(電腦裡沒有yllan簽名資料)，你敢相信嗎？如果你敢肯定說這張 certificate 是真的，是公司IT親手拿給你的，他神智清醒也不是商業間諜，人也很善良，只是你們公司沒有錢請 SJ 簽名所以只好自己簽，那 always trust 沒關係呀。但如果你不認識 yllan 也不知道 yllan 的簽名長怎樣，那就要小心了。但這個權威人士也不是都能相信就是了。前陣子有人發現，新系統 (Windows/ Mac/Linus 都有) 裡面居然有存大陸的 CA，就好像你電腦裡存有冬瓜標的簽名資料一樣，你會信任一個流氓嗎？他哪天簽一張憑證給他的手下要把你做成消波塊，你還傻傻相信來的人是正義警察，那不就完了？ http://preview.tinyurl.com/ykpjhhe 然後前陣子又有權威人士 (CA) 被挾持(hacked)，被迫亂簽 google、yahoo等著名網域的憑證給第三方人士，所以遇到這些持有假憑證的人，你電腦也會自動相信他們。好可怕呀～ http://blog.gslin.org/archives/2011/03/26/2537/ : → Equalmusic:那連結真有趣...看完有點懂又好像沒懂...XDD 05/05 13:54 : → Equalmusic:我之前都是勾 always trust...但是這樣是不是不安全？ 05/05 13:55 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.160.222

推

EShensh

05/06 00:43, , 1^F

05/06 00:43, 1^F

推

iPluto

05/06 00:52, , 2^F

05/06 00:52, 2^F

推

hung0724

05/06 02:09, , 3^F

05/06 02:09, 3^F