Superfish事件:自签名SSL证书惹的祸

春节期间爆发的“Superfish”事件持续发酵,引发整个社会舆论的大哗。Superfish是一款广告应用软件,内置的算法可以帮助用户找到和发现产品,在搜索引擎中对购物进行图片分析、搜索以找到更低的价格,其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验,开拓软硬件结合的获利模式,本来是一件好事,为何却酿成如此大的品牌危机?这款电脑预装软件究竟具有怎样的安全风险呢?

据国外研究人员表示,导致Superfish引发安全风险的始作俑者是由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),该SDK生成不受浏览器信任的自签名SSL证书,使用了较弱的加密算法,使用该SDK的产品在每台计算机上内置的根证书是相同的,而且证书密码都是“komodia”,极易导致SSL的中间人攻击。这意味着安装了Superfish的用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击,用户可能面临隐私泄漏、被钓鱼等严重威胁。如此看来,消费者的愤怒就不难理解了。

?

国内知名数字证书颁发机构沃通WoSign的安全专家认为,因为自签名SSL证书导致如此大的安全漏洞,最终毁掉了一个好产品和一个极具前景的项目,是非常可惜的。该专家解释道,自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了一颗定时炸弹,随时可能被黑客利用。

这一事件给合作三方都带来了巨大负面影响,也给所有厂商敲响警钟,无论是硬件提供商或是软件开发商,都有责任为用户提供更好、更安全的产品,本着对用户负责的态度,加强产品的安全性能,尊重用户的隐私,保护用户的数据安全。

沃通安全专家介绍称,为了让更多用户享受更安全的产品和互联网环境,沃通WoSign全球率先提供2年期的多域名免费SSL证书,受所有浏览器信任,让所有开发商零成本实现SSL加密安全,无需再使用安全风险极高的自签名SSL证书。

沃通WoSign是全球信任的CA机构,连续多年通过Webtrust国际审计,严格按照国际标准验证审核,可签发正规SSL证书,即使是免费SSL证书,也必须通过审核才能签发,不能随意获取。沃通CA签发的证书受所有浏览器信任,一旦遭遇中间人攻击,浏览器会自动报警提醒用户,有效防止中间人劫持和钓鱼攻击。沃通WoSign也将持续提供更优质的安全产品和服务,守护用户的数据安全。

时间: 2024-10-13 00:25:38

Superfish事件:自签名SSL证书惹的祸的相关文章

Android HTTPS如何10分钟实现自签名SSL证书

前言 去年公司内一个应用加了支付宝支付功能,为了保证安全,支付请求链接写成了https. 由于公司服务器使用的是的自签名证书,而在Android系统中自己签署的不能通过验证的,所以会抛出错误. 于是我网上查找了很多资料,也尝试过几种方法,过程都很繁琐,搞了一通宵都不行. 幸亏通过一个朋友找到了以下这个简便的开源库 https://github.com/lizhangqu/CoreUtil 然后用里面的SSLUtil,10分钟就解决了. 实现自签名SSL证书 1.访问以上开源库网址下载SSLUti

asp.net web api 使用自签名SSL证书

1自签名SSL证书的创建 创建自签名SSL工具xca为:https://sourceforge.net/projects/xca/ 创建过程 1)创建根证书 打开软件,界面如下. 点击,看到下拉菜单,选择,创建新的数据库. 给文件命名,选择文件存储的位置,这里我放在了E:\CA这个文件夹下 点击保存,弹出下页,填写密码 点击ok,弹出下页 点击,弹出下页 签名算法改为SHA 256,其他不变,点击,然后点击ok,弹出下页 点击,填写信息,如下: 点击,弹出下页 确认无误,点击,成功显示下页 点击

linux系统自签发免费ssl证书,为nginx生成自签名ssl证书

安装nginx可参考:nginx重新编译支持ssl可参考:接下来手动配置ssl证书:自己手动颁发证书的话,那么https是不被浏览器认可的,就是https上面会有一个大红叉下面是手动颁发证书的操作 切换到nginx配置文件 # cd /usr/local/nginx/conf 创建配置证书目录 # mkdir ssl # cd ssl 1.生成私钥 openssl genrsa -des3 -out cert.key 1024 #生成1024的证书私钥 Generating RSA privat

网站还在使用自签名SSL证书?大错特错

自签名SSL证书是什么?估计很多人还不了解,但也有不少人在使用.至于使用的情况如何,我猜是如人饮水冷暖自知.要想对它有个全面的了解,先从定义开始吧. 所谓自签名SSL证书,就是使用openssl等工具创建的证书,并不是由受信任的CA机构签发的.这种证书可以随意签发,不受约束,不受监督,因此也不受任何浏览器以及操作系统的信任.光是从定义上看就让人觉得,这种证书岂不是一点安全保障能力都没有? 事实就是如此.任何网站安装了自签名SSL证书都会存在很大的安全隐患和风险.为了让大家更好的了解它的弊端,安信

StartCom免费ssl证书申请以及在Tomcat环境中的配置

提示:建议以下操作不使用谷歌浏览器(该网站的证书不识别...),可以看到我的截图中谷歌换成了ie(没装火狐)...建议该申请使用火狐 前面介绍了下自签名的ssl证书,虽然可以实现https协议访问,但是浏览器总会提示不安全,对用户不太友好,在这里介绍下稍微正规点的CA认证方式. 在某果发布的文章上看到说他们的app要强制要求使用https协议了,让用户去沃通申请免费的ssl证书,结果去沃通官网,发现截至到16年9月份就停止免费申请了 最后不得已使用了startssl 免费ssl证书,官网说的是免

自己签发免费ssl证书

自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书 这里说下Linux 系统怎么通过openssl命令生成 证书. 首先执行如下命令生成一个keyopenssl genrsa -des3 -out ssl.key 1024 然后他会要求你输入这个key文件的密码.不推荐输入.因为以后要给nginx使用.每次reload nginx配置时候都要你验证这个PAM密码的. 由于生成时候必须输入密码.你可以输入后 再删掉. mv ssl.key xxx.keyopenssl r

转【翻译】如何在Ubuntu 12.04上配置Apache SSL证书

关于SSL证书 SSL证书是加密站点信息和创建一个更安全的连接的一种方式.另外,证书可以向站点访问者展示VPS的身份信息.证书颁发机构颁发SSL证书,用来验证服务器的详细信息,而一个自签名的证书缺乏第三方机构的证明. 设置 以下教程,需要拥有VPS上root权限. 另外,你的虚拟服务器上需要安装并运行有apache.如果没有安装,可以通过以下命令安装: sudo apt-get install apache2 第一步--启用SSL模块 下一步启用SSL sudo a2enmod ssl 紧接着重

Https系列之一:https的简单介绍及SSL证书的生成

Https系列会在下面几篇文章中分别作介绍: 一:https的简单介绍及SSL证书的生成二:https的SSL证书在服务器端的部署,基于tomcat,spring boot三:让服务器同时支持http.https,基于spring boot四:https的SSL证书在Android端基于okhttp,Retrofit的使用 所有文章会优先在:微信公众号"颜家大少"中发布转载请标明出处 一:本文的主要内容介绍 https的介绍SSL证书的介绍自签名SSL证书介绍及生成方法CA证书介绍及申

Https系列之四:https的SSL证书在Android端基于okhttp,Retrofit的使用

Https系列会在下面几篇文章中分别作介绍: 一:https的简单介绍及SSL证书的生成二:https的SSL证书在服务器端的部署,基于tomcat,spring boot三:让服务器同时支持http.https,基于spring boot四:https的SSL证书在Android端基于okhttp,Retrofit的使用 所有文章会优先在:微信公众号"颜家大少"中发布转载请标明出处 先来回顾一下 前面已分别介绍了https,SSL证书的生成,并完成了服务器端的https的部署并提到一