今天看网络日志,发现一个证书错误
一些信息可能比较敏感,引起跑题争论或者误会,做了掩码
xxxxxxxxxxxxxx (58xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
xxxxxxxxxxxxxx (d0xxxxxxxxxx) 这是权威境外 CA crt.sh 能查到
|
free-m.wifi.xxxxxxxxxxxxxx(afaef9xxxxx) (这个证书在 crt.sh 上搜不到)
|
mysite.com (实际证书是 digcert 注册的)
免费 WIFI 确实好
 |
1
miaomiao888 1 天前  1
证书错误在已经普遍的 HTTPS 协议通常不是会拒绝连接么
|
 |
2
yinmin 1 天前 via iPhone
iphone 里的 vpn 设置有“按需连接”,启用后能接管所有流量加密传输所有数据,避免 wifi 监听。
android/iphone 开启 wireguard 也有这个功能,所有流量都必须走 wireguard 通道,wifi 是无法监听通讯的。 |
 |
3
liuidetmks OP @miaomiao888 通过合法 CA 进行任意域名的签署,这种 MITM 不会被系统拒绝
|
 |
4
pingdog 1 天前 via Android
captive portal 认证要重定向的常规流程,HSTS preload 的域,浏览器会拒绝跳转,所以 captive portal 很多只能从 http 跳过去认证页面
本机不信任公用网络的 CA 基本没什么问题,如果公用网络的 gateway 开了 deep inspection ,你打开任何 https 都会显示证书错误 |
 |
5
imlonghao 1 天前 via iPhone 3
正文占用一半篇幅的证书链没有一丝意义,通篇可以省流为
OP 发现某些免费 WiFi 存在中间人攻击 |
|
6
yinmin 1 天前
如果你担心酒店 wifi/公司 wifi 有监听,可以部署一个私有 vpn server ,然后测试:
(1) 手机开启 vpn 后:切换手机 5G 和 wifi 后 vpn 不会断开; (2) 手机开启 vpn 后,关闭 vpn server:vpn 不会断开并维持无法上网状态;再切换手机 5G 和 wifi ,vpn 仍然不断开并维持无法上网状态;开启 vpn server 后网络恢复正常。 以上测试完成后,你的 vpn 就是一个有效的抵御 wifi 监听的方式。在连入公共 wifi 前开启 vpn 即可。 |
 |
7
HENQIGUAI 1 天前
接近十年快没有连接过免费 wifi 了。
|
|
8
imlonghao 1 天前 via iPhone
@liuidetmks 合法 CA 任意域名签发这是能吊销 CA 的,看看证书
|
|
9
yinmin 1 天前 1
@liuidetmks #3 没有 1 个合法 CA 会做任意域名的签署用于监听,这是被明令禁止的。浏览器有一个证书透明度检查,能实时发现这种违规行为,如果被发现这种违规,商业 CA 会在几周内被吊销掉,结束他的商业生命。这是操作都是私有 CA 证书导入设备后才能实现的。
|
 |
10
shiny PRO 2
你看看隔壁 TrustAsia /t/1187331
未授权签发证书能把他们急成啥样 |
 |
11
Saniter 1 天前 via Android
这是拦截 web auth 用的证书吧
|
 |
12
MindMindMax 1 天前
从来不用公共 wifi ,星巴克的除外
|
 |
13
iX8NEGGn 1 天前
“合法 CA 进行任意域名的签署”,这不成立吧,不然 TLS 就是摆设,所有网站都不安全了。
|
 |
14
liyafe1997 1 天前
这证书会被浏览器/客户端拦吧?
|
 |
15
si 1 天前
我平时都关 WiFi 用流量,只有需要配置什么的时候才连 WiFi 。
|
 |
16
julyclyde 1 天前
这证书链其实没啥毛病啊
前两个权威,第三个被第二个签发,那就没问题啊,第三个如果有 CA 功能,再去签发第四个也是可以的啊 |
|
17
julyclyde 1 天前
理论上,第四个如果是由 digcert (我猜你想说 digicert )签发,那就不可能由 free-m.wifi 签发
要不你导出第四个证书给大家看看? |
 |
18
moult 1 天前 2
这个跟免费 WIFI 有啥关系。
应该纠结第三个证书怎么签发出来的,为什么 Basic Constraints 和 Key Usage 具有 CA 的属性。 |
|
19
moult 1 天前
建议把第三个证书的 PEM 贴出来看下
|
 |
20
qwasfun 1 天前
你在手机上安装软件了
|
 |
21
laminux29 1 天前
国内免费 Wi-Fi 都有实名制与管控要求,其安全设备的实现方式就是基于证书的中间人攻击。
|
 |
22
DefoliationM 1 天前
op 可能不太了解密码学和计算机网络相关的知识,合法就不会报证书错误了,这种都随便生成的。你可以让 llm 给你写个生成这种证书的脚本/代码。
|
 |
23
lzhd24 1 天前
不用想也知道,你只要上网,那么你的数据就有泄露的风险,能让你看出来证书有问题的,可能都是小手段。。。真正有实力的中间人攻击,你证书看不出来。。。。。。。
|
 |
24
FrankAdler 1 天前
哪个合法 CA 敢任意签发证书?等着被吊销吧!
|
 |
25
dddedd 1 天前
@FrankAdler 敢任意签直接倒闭
|
 |
26
EchoWhale 18 小时 11 分钟前 via iPhone
不懂就问,难道连接不同的网络,同样网站的证书链会有区别吗?
|
 |
27
webcape233 17 小时 44 分钟前 via iPhone
公司都不用 wifi ,外面连 wifi 开 tailscale 回家绕一圈
|
 |
29
longsays 16 小时 38 分钟前 via Android
@EchoWhale 他这种不同网络不同证书就是中间人攻击,或者你自己装了第三方软件导致的中间人,比如有些广告拦截就是靠中间人解密后拦截广告
|
 |
33
Bxiswiwbdydux 15 小时 19 分钟前 via Android
我全部把银行 app 的 wifi 联网方式关了。
|
 |
35
isnullstring 14 小时 44 分钟前
除了提前在设备上植入自签的证书可以外,TLS 可以正常保证安全吧
|
 |
36
kiii 13 小时 36 分钟前
那边房子空着,偶尔去住两天,30 买了个路由器中继楼下饭店烧烤店什么的,用着也没问题,就是吃饭高峰期比较卡
|
 |
37
sayoll 9 小时 54 分钟前 via Android
对于我这种 365x24 开 doh 的,应该风险不大吧
|
 |
38
artiga033 9 小时 45 分钟前 via Android
> 发现一个证书错误
> 通过合法 CA 进行任意域名的签署 左右脑互搏是吧 |
 |
39
xmdbb 9 小时 0 分钟前
国内吗?国内所有的公共 wifi 都要有审计的,所以我从来不用。
包括星巴克一样,只要提供公共 wifi ,就需要购买公安认可带审计功能的 |
 |
40
pxw2002 6 小时 51 分钟前
太扯淡了吧
|
 |
41
robin001 6 小时 41 分钟前
流量充足 基本不连公共 Wi-Fi
|
|
43
yinmin 1 小时 50 分钟前 via Android
@sikong31 #42 vpn server ( IKEv2 )会告诉 ios 哪些网段走 vpn ,如果开启“按需连接”,访问 vpn 网段会自动连接 vpn 。当 vpn server 接管所有流量( 0.0.0.0/0 )时,开启“按需连接”可防止 wifi 窃听数据。
|
|
44
yinmin 1 小时 32 分钟前 via Android
接#43 ,使用 ios 内置的 vpn 协议时,切换手机 4G5G 网络/wifi ,vpn 会断开。必须先连 wifi 再开启 vpn ,中间有一个时间差。公共 wifi 信号波动,手机可能会短暂切到 4G/5G 再切回 wifi ,vpn 就断了。
开启“按需连接”就是为了避免 vpn 异常断开被 wifi 窃听。 |
Select Language