2009年11月开始,我多次发现GMAIL的证书在变化,我于是截图放在twitpic.com 上面和网友讨论。
我发现,我曾截取的图片显示mail.google.com 有三张证书,分别颁发于2009/3/25 、2009/12/18、 2009/11/12 图片在这里 http://twitpic.com/photos/zuola 下面我分别贴出图片:
- http://twitpic.com/pzpgu Posted on November 18, 2009下图显示,我安装的一个叫"Certificate Monitor" 的firefox插件提醒我 mail.google.com 的安全证发生了变化,之前的证书颁发于于2009/3/25,由Thawte SGC CA颁发;新证书由Google Internet Authoryty 颁发,新证书的颁发日期为2009/11/12。
- http://twitpic.com/pzq3h 200911月18日,得到警告。下图是又换回最初的证书了,换回于2009/3/25由Thawte SGC CA颁发的证书;
- http://twitpic.com/vkkn9 2009年12月28日,我又得到警告。下图证明又来了一份安全证书,于2009/12/18由Thawte SGC CA于零点零分零秒颁发,这个证书非常可疑,怎么做到如此准时的?难道不像前两张证书一样由机器生成?这张证书是手工生成的?
BTW: Google的另一个重要的服务,GOOGLE DOCS, 一个用于存放在线文档的地方,我今天在访问的时候提示下面的警告:
http://twitpic.com/yq0np 今天2010年1月19日截图,这张图显示,google不再使用Thawte SGC 来颁发安全证书,奇怪的是,在颁发前一个证书后的第四十天,又重新颁发了一张新证书。这种情行是极不合理的。
另,我的blackberry 8310安装了google sync ,最近多次提示链接不安全,请选择继续或关闭链接,我觉得奇怪,所以选择的是关闭链接。有twitter网友huawuban也说遇到同样的现象。
疑问和猜测:
- GOOGLE的GMAIL和DOCS不合常理地频繁更换安全证书是否为正常行为?
- 是GOOGLE公司的人亲自做的操作还是中国政府用了手段?
中国政府如果通过劫持DNS,再加上私下获得的Thawte SGC CA签名的安全证书的private key是可以避开浏览器的安全警告,从而构建一个SSL内容嗅探的网关,通过此跳板开成一个中间人,实现劫持密码和通信内容。吴洪声写过一张篇详细的日志 介绍此思路《SSL窃听攻击实操》http://wuhongsheng.com/it/2009/09/ssl-hijack/
解决方案:
联系上GOOGLE的工作人员,向他们汇报并核实此情况,我希望能听到他们对这些安全证书的解释,最好能有合理的解释不让我怀疑中国电信和中国警察 在试图嗅探GMAIL内容。希望能看到我BLOG并能联系上山景城(Mountain View)的GOOGLE员工,我希望能理解此现象。
1 条评论:
在国外访问,得到的证书也是00:00:00颁发的那一张。
发表评论