关于证书的劫持攻击，以及常用的安全软件会检查非法证书的安装么？

神龟Turmi

yexo 发表于 2023-3-6 03:19
根本不检查，现实是证书太容易搞到了，多如牛毛，更别说某些杀软自己也会往系统里面塞证书，被用户强删后还 ...

并没有多如牛毛，合规的SSL里面必然有common name或SNI（在SSL中都指代域名），你用域名A的SSL访问域名B任何主流浏览器都会报错，common name或SNI中的域名必然要通过所有权验证（例如DNS TXT/CNAME记录 例如webmaster@domain邮箱）
至于CA签发不属于所有者域名的SSL，是有过，但是都已经被CAB干掉了（例如360旗下的沃通和StartCom 例如CNNIC 例如赛门铁克）所以目前在系统以及浏览器内置的CA都是没有干过（至少没被发现）签发了有误域名的
至于楼主说的情况是自己装了一个根，这种情况下根不属于可信CA，自然也不受CAB监管，那么想干什么自然是根所有者说了算咯

yexo

神龟Turmi 发表于 2023-3-6 20:59
并没有多如牛毛，合规的SSL里面必然有common name或SNI（在SSL中都指代域名），你用域名A的SSL访问域名B ...

对于网站什么的，就算证书要域名啥的，也不难搞。正当大家看到互联网对证书的采用和部署渐入佳境，以为安全环境应该有所改善的时候，一些贴心的免费证书服务横空出世。

一般借道网站证书不如直接添加根来得痛快，当然途径和目的也不尽相同。前面说多如牛毛，也就是一形容，比如毛豆里自带的白名单，还有外面一堆泄露的，已知的，未知的。现在连硬件签名都可以完美地泥沙俱下了，至于其他的，真的都是毛毛雨。