每周技术评论（2020年第30周）

最近我新申请了台 mac 的打包机，等我领回来的时候，发现 IT 已经给我装好了，**内网准入、SkyGuard 软件。

拿到电脑后，第一件事情是去苹果网站上下载最新的 Xcode 12 beta，然后奇怪的事情发生了，我死活上不去。 https://www.apple.com 。

这就奇怪了，Safari 首页默认的新浪、猫头鹰都能点进去，甚至连需要翻墙的 Google 也能上去

上不去

我自查，ping 域名是可以通。找了网管，问是不是因为内网准入的原因，网管否认了，而且一顿操作、指导，都没有卵用。网管后面提了一句，你要不换个浏览器？

一试，在 Firefox 里发现端倪了。

03172247def0ebc3c102028cde03b78a.jpg

314aec08e3ab339de4cb4d158ed3a1d9.jpg

是说， SkyGuard 声称是 www.apple.com 的证书实体，想用自己的证书来解析 https 加密的报文，Firefox 提示有风险。这里吐槽下网管，他居然说：

IT服务
您把网页版访问不了的故障页面截图发我看看
我：
看我的连个截图，能看到吗？都发了
IT服务
您点击Lean more
IT服务
继续前往就好了

明显 SkyGuard 企图嗅探我的数据，还让我容许。平日我们用 Charles 和 Fiddler，抓包的原理和这个一样，允许网络中间代理证书信任，从而可以抓到 https 的明文信息。我问网管 SkyGuard 为何要拦截用户访问苹果的信息，他嘴上说没有啊，实际上下午，我再次访问时，已经可以访问 www.apple.com 了。要么他们把配置关掉了吧，不知是工作失误还是有心为之，此处省略500字。
23日更新，又发现 SkyGuard作恶新证据。

企图污染浏览器 CA

图解 HTTPS：Charles 捕获 HTTPS 的原理

----- 图解比较易懂外，里面有大量密码学的参考资料，大部分是入门基本，作为泛读不错。我遇到的情况就是此文中所说的中间人攻击。

image.png

这次攻击被识别的原因，就是因为浏览器预装的 CA 证书，校验不通过发现的。

How CAs Work

So that the browser can authenticate a website, it must be presented with a valid certificate chain by the server it's connecting to. A typical chain would look something like this, but note that there can be more than 1 intermediate certificate in a chain. The minimum number of certificates you can expect to see in a valid chain is 3.

----- 这篇文章很长，主要讲了目前根证书过期带来的信任链断链的问题，简单介绍了信任链的原理。对于新设备，如 iPhone，每年去更新根证书就 ok 了，但是如果是旧版本的 Android 电视，当旧证书过期后，整个证书信任链从顶部就断了。作者举例，Let`s Decrypt 和 BBC 的例子。
我从这个文章第一次听说了，信任链会有多个链条，浏览器会选最短的那条。
重要概念，公共密钥基础设施（PKI）

分组交换设备的数字证书过期事故

近期最著名旧证书过期导致的事故来自日本软银，因为爱立信的交换机证书过期，没来的及换，导致通讯中断；2018年12月6日，日本运营商软银18台4G核心网网元突发故障，造成全网大量用户无法正常通信。除了日本以外，英國也有電信公司蒙受其害。（注意查看帖子里，日本人做的事故报告，图表非常棒）

发生时间：
2018年12月6日 13：39至18：04（4小时25分钟）
影响内容：
4G LTE移动电话无法进行语音通话和数据通信。
•部分LTE 固话和家庭Wi-Fi无法正常使用
由于4G网络故障，导致3G网络拥塞
影响范围：
全国（约3060万线用户）
故障原因：
4G核心网设备（MME）软件缺陷导致。

不良 CA

正因为系统和浏览器内置的 CA 如此重要，有些人就动了坏心眼。企图从源头污染信任链。

• 赛门铁克SSL/TLS证书 被 digicert 接管 ，起因是赛门铁克乱发证书被 Chrome 警告到不支持。

早在2015年，在签发了一些坏的测试证书之后，赛门铁克与谷歌发生了冲突。我们倾向于淡化第一个错误的严重性，但它是相当重要的。谷歌发现，赛门铁克一直在签发由谷歌、Opera和其他三大组织所拥有的未经授权的SSL证书域名。这一丑闻使得赛门铁克开除了许多雇员，同时谷歌要求赛门铁克开始添加它之前签发到证书透明日志中的所有证书。当时，只有EV证书被要求进行记录。via

• 沃通证书被封杀（360 收购的WoSign，用在 360 浏览器绿标认证业务里，赚钱）
  Chrome 61 将彻底封杀 WoSign 和 StartCom 凭证，微软已正式废止 WoSign / StartCom 品牌根证书，苹果屏蔽对 WoSign 的信任，但事态仍有挽回余地

---- 平日多注意下证书问题，避免用 360 等国产浏览器

总之，在原来越复杂的互联网，多了解下安全相关的技术很有必要。