如何理解谷歌浏览器的安全警告信息

标签: 编程技术 谷歌浏览器 | 发表时间:2015-08-17 09:13 | 作者:techug
出处:http://www.techug.com

最近如果使用Chrome访问国内的很多网站的时候,比如exmail.qq.com, 你可能会注意到这样一个对话框,这个是什么意思?访问链接没有私密性吗? 等等,这里好像有点不对, 网页私密性到底是个啥,为啥会提醒我这个问题,我不是已经输了密码登录了嘛?事情要从头说起。

我上个邮箱,连私密性都没有了,那里面的照片应该怎么办,以前修电脑没有私密性,现在连上网都没有私密性,难道我又要红了?

一、HTTPS (安全超文本协议)怎么来的?

1997 年 CERN发明HTTP 协议并用于万维网的时候,仅仅是为了在学术界内部做一个共享数据的平台, 并没有想到太多传输中的安全性。毕竟当年网络规模非常小,而计算机以及昂贵的网络设备并不是每个人都可以买得起的。

他们当然没有料到之后万维网居然成了一个信息传递的通用平台,一帮人甚至丧心病狂地在上面做起了Web电子邮箱、网络银行一类的服务。这类服务对安全性和私密性的要求都非常严格, 因为基本上没有人希望自己的银行密码,私人的邮件在传输中被第三方看到。

所以问题就来了, HTTP 是明文传输的。 HTTP倒是支持密码认证,只是不巧的是,密码也是明文传的。

针对这种情况,在网景一帮科学家,特别是 Dr. Taher Elgamal (号称SSL 之父)的努力下, HTTPS 横空出世了。

HTTPS 里面,所有传输的数据都是加密过的,于是第三方无法在数据的传输过程中获得任何有用的数据,数据传输中的私密性自然得到了保证。

至少当初设计的目的是这样子。

HTTPS 并非是一个全新的协议,其实是在 HTTP的 基础上,加了 SSL (安全套接字)或者是后来的 TLS (传输安全协议)。 SSL/TLS 工作在 HTTP 之下, 负责加密所有传输的数据。

说个题外话,当时不仅仅是 HTTP,众多的互联网上层协议,即应用层协议,STMP 电子邮件协议 一类,大多都是明文传输的。而移动互联网或
者其他网络,都是基于一些标准的协议,就是TCP/IP协议簇。早期时候,这些协议是由互联网领域专家联合制定的,就像现在制定法律的过程一样。而经过实
际的验证,其不严谨性渐渐被发现,于是人们在此前的基础上进行不断更新,SSL/TLS就是这样出来的。 SSL/TLS
由于是工作在TCP层和应用层之间,它可以加密任何应用层协议,包括STMP一类。 从这个角度说来,网景对互联网的贡献其实是非常深远的。

HTTPS 使用非对称算法交换密钥,这个也是一个非常精巧的算法,有兴趣的同学可以点击这里了解下,号称是20世纪最重要的算法之一。

HTTPS 除了解决加密问题以外,还需要还解决另外一个问题: 网站真实身份鉴别

比如,如果你上招行网站,你怎么知道你上的就是招商银行网站而不是一个做得和招商银行一模一样的钓鱼网站呢?

这个其实和现实生活中如何鉴定一个长的像警察并且突然站到你面前要你交罚款的人是否是真正的人民警察是一个场景。

”警官证可以给我看看吗,谢谢!“

HTTPS 用的是同一种方法,它要求每一个使用这个协议的网站从专业的第三方机构申请一个数字证书,数字证书中包括网站的域名,所有者等等 (当然也包括公钥,这里不详细展开协议细节了)。

这个数字证书其实就相当于现实中的警官证。

在访问这个网站的时候浏览器会对证书做一次检查,而这个对话框,就是检查的结果。

我们来看看这个对话框内容是个什么鬼。

二、如何鉴别你是警察?因为警官证也有可能是假的。

第一个:

该网站的身份验证已经通过GeoTrust SSL CA–G2的验证,但没有公开审核记录。该网站的安全设置已过期,可能导致日后的Chrome 版本无法安全访问该网站。

刚才有提到证书是由专业机构颁发的,不过,

- 专业机构就没有坏人了嘛。

- 证书就不会被人偷吗。

- 专业机构被骗了怎么办。

事实上,荷兰专业机构(DigiNotar)甚至被入侵过一次, 丢了好几百个证书,你可以自行脑补一下有人潜入公安部自己办了几百个警官证是一个多么壮观的场景。


是,IETF在2013年启动了一个叫做certificate-transparency的开源项目,把所有已知的合法证书做了一个白名单,浏览器在验
证证书的时候同时也会去查看这个证书是不是在白名单里面。 如果不在的话,就会告知用户这个证书找不到记录,于是,有可能是假或者是被盗的证书。

但是,这里有一个致命的问题:

到目前为止,这个还只是一个试验性项目,而这个世界上那么多的网站, 你白名单得过来嘛。

(注意:已经没有警示标志)

比如上图所显示的,其实也没有审核纪录,不过警告的标示去掉了。说明谷歌其实自己也知道目前白名单的覆盖很差,一般找不到记录,并不会加上确切的警告标示。所以,目前你可以忽略它。

关键在第二个:

本网站采用较弱的安全配置(SHA-1签名),所以你的连接可能不是私人的。

这个就比较有意思了。

还是那个警官证的问题。 要搞一个警官证除了去偷/骗/潜入公安部自己做一个真的以外, 你还可以做个假的嘛。

对于数字证书来说,最重要的鉴别真假的部分是数字签名,而鉴于数字证书一般不小,不可能对每个字节都签一次名,一般来说是对数字证书的一个哈希值进行签名。

如果你不知道哈希值是什么,我给你打个比方。如果你是一个数字证书, 那你的照片就是你的哈希值。

它包含下面2个条件:

- 通过合适的手段,可以从你产生你的照片, 但是没法从照片产生你 。意思是,先有你,才能有照片。

- 只有你可以精确的产生你的照片,别人都不行。你就是唯一的,你的特征是别人没有的。

所以如果想检查一个人的警官证,只需要看看照片能不能对上人(哈希值符合),照片上面的骑缝章对不对(数字签名)。但是这个骑缝章只需要盖在照片上,而不需要盖在警官兄的脸上。当然我知道这个比喻有非常多学术上的不严谨性,不过这个是我目前能找到最容易理解的比喻之一了。

数字证书中, SHA-1就是一种常见的哈希算法。 可以像照相机一样,给你的数字证书生成一个唯一值(照片)。

只是这个算法有一个问题。 这个算法这个函数由于设计时间早,强度太差,导致有可能用两个不同的数字证书可能会生成同样一个值。

这个就像如果你有一个照身份照的照相机,不过这个神奇的照相机拍的太模糊,以致于通过特殊的设定,可以用另外一个人照出和真实警官一模一样的照片。恭喜你,如果你发现了这个设定,你就可以大规模的制作套牌警官证了。

这种现象在哈希函数中被称为是“碰撞”。

对于SHA-1 算法 如果要找到这个“特殊的设定”大概需要2的74次方个操作,(也有论文指出,只需要2的61次方个操作即可完成)  这个在SHA-1发明的时候是不可想象,不过其实在现在也是不可行的。只是按照现在计算机的发展速度 2018 年左右使用价格合适服务器集群理论上就可以破解(可以参考这里):

”A
collision attack is therefore well within the range of what an
organized crime syndicate can practically budget by 2018, and a
university research project by 2021。“

(”因此,在一个有组织犯罪集团的范围内,一次碰撞攻击的实际预算是2018,而一个大学的研究项目是2021“)

于是,Chrome 认为使用SHA-1的哈希函数都是潜在不安全的,于是会对所有使用SHA-1的网站证书提出警告,督促所有使用SHA-1的网站换为SHA-2。

不过注意,仅仅是潜在不安全, 目前还没有可行可靠的SHA-1碰撞算法出现。

所以,这些网站暂时是安全的,不过也希望站长们多多提高安全意识,因为SHA-1已经非常接近可以被“破解”边缘。很有可能会出现以上情况:被人找到碰撞算法或者说被破解,从而制作虚假警官证。

如果要详细的证书设置以去除这个警告的步骤,可以参考这里(点击进入链接)

因为工作原因——欧朋Opera是Chromium安全组成员,所以我对这个内情比较了解。有兴趣可以去看看讨论组里面的撕逼贴, 截个屏放在这里: 

相关 [理解 谷歌 浏览器] 推荐:

如何理解谷歌浏览器的安全警告信息

- - 程序师
最近如果使用Chrome访问国内的很多网站的时候,比如exmail.qq.com, 你可能会注意到这样一个对话框,这个是什么意思. 等等,这里好像有点不对, 网页私密性到底是个啥,为啥会提醒我这个问题,我不是已经输了密码登录了嘛. 我上个邮箱,连私密性都没有了,那里面的照片应该怎么办,以前修电脑没有私密性,现在连上网都没有私密性,难道我又要红了.

谷歌浏览器使用全攻略

- - 慕容鱼吐的新闻泡
简单介绍一下 chrome 浏览器,chrome首个版本在2008年9月8日问世 版本号为0.2.149 2008年12月11日公布首个稳定版 版本号为1.0.154 多的不说了 这种介绍在网上一搜一大票. 本帖子本着通俗 由浅入深 让新手会用chrome 让老手找资源更加方便的理念编写 希望大家能够喜欢.

数据称现实中谷歌Chrome浏览器速度最快

- 老谢 - cnBeta.COM
技术性能服务提供商Compuware性能测试部门Gomez今天发布数据,按照一个衡量电脑用户使用的网络浏览器速度的项目结果显示,谷歌Chrome浏览器速度最快. 本次项目只测量了在宽带连接下各浏览器的载入时间,数据收集了1个月内访问逾200个网站的18.6亿个独立样本.

用谷歌浏览器来当手机模拟器

- satan - 乱弹琵琶playit
很多网站都通过User-Agent来判断浏览器类型,如果是3G手机,显示手机页面内容,如果是普通浏览器,显示普通网页内容. 谷歌Chrome浏览器,可以很方便地用来当3G手机模拟器. 在Windows的【开始】–>【运行】中输入以下命令,启动谷歌浏览器,即可模拟相应手机的浏览器去访问3G手机网页:.

微软安全软件误报谷歌浏览器为病毒

- 小趴 八足趴 八足 ramener - 月光博客
  据谷歌支持论坛的用户在周五反馈,微软Security Essentials安全软件早间将谷歌Chrome浏览器误报为病毒,并将用户的Chrome浏览器卸载. 不过微软稍后发布了补丁程序修复了这个问题.   周五上午,有用户发现Microsoft Security Essentials向用户发出警告,称Chrome浏览器中存在病毒“PWS:Win32/Zbot”.

谷歌Chrome取代火狐成全球第二大浏览器

- 罗智中 - cnBeta.COM
据国外媒体报道,StatCounter的最新统计数据显示,谷歌Chrome取代火狐成全球第二大浏览器,仅次于IE. 据悉,上周结束时,谷歌Chrome的市场份额上升至25.47%,火狐本周仅占25.32,前一周,谷歌Chrome的市场份额为25.5%,火狐拥有25.79%的占有率. 上一周,两大浏览器都失去了一定的市场份额,主要原因是IE浏览器的使用率节节攀升.

20款谷歌Chrome浏览器最佳插件

- - HTML5研究小组
据国外媒体报道,谷歌Chrome已经成为目前全球最流行的浏览器之一,最新版本Chrome 17具有良好的安全性能、书签和偏好同步功能,并继续强力支持HTML5. 自2009年底谷歌Chrome支持扩展插件无限定制之后,Chrome进入了更新的阶段,Chrome浏览器插件的数量在 短短的前14个月内从300个上升到11500个.

谷歌到底怎么绕过浏览器的隐私设定

- - 月光博客
  剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争. 为什么叫神仙战争,因为你根本看不懂这五篇报道.   1,《 谷歌被曝绕过Safari隐私设定追踪用户浏览记录》.   2,《 谷歌因Safari隐私问题遭用户起诉侵权》.   3,《 微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”》.

细数谷歌浏览器的 10 大隐藏技能

- - 码农网
谷歌 Chrome 浏览器一直以速度、简洁和安全为用户所熟知. 除此之外,Chrome 的其他功能也非常强大,为了进一步提高工作效率,让我们一一揭晓它的那些隐藏技能吧. 用户拥有多个谷歌账户(工作用或个人用)是很习以为常的事情,但是比较麻烦的是常常需要登出一个账号再登入另外一个. 但是使用 Chrome 浏览器的话,就无需担心多账号同时登陆的问题.

谷歌和火狐浏览器将不再信任中国CNNIC数字证书

- - FreeBuf.COM | 关注黑客与极客
谷歌Chrome和Mozilla火狐浏览器(FireFox)近日宣布,将不再信任中国互联网信息中心(CNNIC)数字证书. 谷歌4月1日在其博客中指出:通过调查,他们决定不在信任来自CNNIC的根证书,而删除证书的举措将在Chrome浏览器的下次更新中落实. 当然,为了帮助因这项决议而受影响的用户,谷歌仍会暂时允许CNNIC现存的数字证书保留在Chrome浏览器内.