主题:我所了解的中国“棱镜”情况 -- 汴梁牛二
- 共: 💬 146 🌺 1539 🌵 8
复 补充一下
"而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误"
NO, CA是你的OS或者browser预加载的。而且Chrome现在有pinning,你就算从一个真正的CA那里设法拿到一个gmail的证书也没用
- 相关回复 上下关系8
🙂兄台OUT了,以前大家都说光纤安全不会从中插入监听 1 一丁七丈三 字110 2013-06-24 11:05:36
🙂不算很久以前,绝大多数专家还不相信光能在真空中传播 2 ST中国实话 字138 2013-06-23 11:34:10
🙂补充一下 38 火山 字874 2013-06-21 01:27:13
🙂这个不对
🙂是的,CA的根证书是预设的;但靠DNS不能搞定 火山 字724 2013-06-22 21:02:29
🙂我猜你是想说“单靠?” bulaohu 字289 2013-06-22 21:31:52
🙂但是要植入一个CA根证书到普通用户,对于政府来讲并不困难 火山 字121 2013-06-22 21:36:39
🙂而且root CA就那么多,政府偷偷塞一个进去的话迟早是 bulaohu 字44 2013-06-23 06:53:42