SSL - 空前缀攻击仍然可能吗?

信息安全 tls x.509
2021-08-31 08:49:34

在 DEFCON 17 (2009) 上,Moxie Marlinspike 发表了演讲,他能够使用格式错误的证书签名请求来为他不拥有的域签名 SSL 证书。它的要点是,对于通用名称来说,就像www.bank.com\0.iownthisdomain.com\0一个空字节。

这种攻击通常仍然可能吗?当然,您可能会找到仍然易受攻击的 CA,但它们是客户端,尤其是 Microsoft 的 SSL 堆栈?

1个回答

Microsoft 已发布MS09-056更新,在几乎所有操作系统上修补了CryptoAPI中的此漏洞,自动修复 Internet Explorer、Chrome、Safari 和任何其他依赖 CryptoAPI 的应用程序的漏洞。Mozilla 在 Marlinspike 演示后迅速发布了更新Opera 已在 10.00 版本中对其进行了修补

其它你可能感兴趣的问题
上一篇Windows 8“重置您的电脑”功能的安全性如何? 下一篇为什么签名被认为是一种有效的身份验证方法?