※ 引述《Equalmusic (Cosmajoonitist)》之铭言： : 我在设定公司信箱的时候出现了警告 : 想请板友帮忙解释一下这个 certificate 是怎麽运作的 : 比如 Mail.app 怎麽 verify servers : 还有为什麽我想连上某个 server...却有可能连到某个伪装的 server？ : 要怎麽避免这种状况呢？感谢！ 有可能啊，例如说你的 /etc/hosts 被改写，或者在外面用莫名的无线网路， 你以为是连真 server，结果恶意AP窜改封包，导向假 server，再把回应的 封包改成让你以为是真 server 来的。 你的电脑 <--> 恶意AP <--+ x 真正的 server | +--> 假造的 server certificate 就是为了避免这种状况。目前 web 和 mail 用的 certificate 都采用我那篇讲的 CA，也就是找个有公信力的机构来背书。 Certificate 运用一项叫做「签章」的技术，可以想像成签名一样，他的特性 是其他人很难产生出代表你的签名，所以每个人只要看到你的签名，就可以相 信说这份文件是你认可的。你可以想像 certificate 是一张纸，上面的内容是 「我是EqualMusic」，但光这样随便哪个人都可以一张纸上打这几个字，对吧？ 如果这张纸上面有 Steve Jobs 的签名，你大概就可以相信了。因为现在大部 分电脑里都有 SJ 的签名资料 (CA Root Cerfiticate)，所以看到这张有 SJ 签名的凭证，我就相信了。不过因为 SJ 不是慈善事业，请他签名还要钱咧。 所以有时候你会发现这张 certificate 上除了「我是 EqualMusic」外，只有 一个不知道是谁的yllan潦草签名(电脑里没有yllan签名资料)，你敢相信吗？ 如果你敢肯定说这张 certificate 是真的，是公司IT亲手拿给你的，他神智 清醒也不是商业间谍，人也很善良，只是你们公司没有钱请 SJ 签名所以只好 自己签，那 always trust 没关系呀。 但如果你不认识 yllan 也不知道 yllan 的签名长怎样，那就要小心了。 但这个权威人士也不是都能相信就是了。前阵子有人发现，新系统 (Windows/ Mac/Linus 都有) 里面居然有存大陆的 CA，就好像你电脑里存有冬瓜标的签名 资料一样，你会信任一个流氓吗？他哪天签一张凭证给他的手下要把你做成 消波块，你还傻傻相信来的人是正义警察，那不就完了？ http://preview.tinyurl.com/ykpjhhe 然後前阵子又有权威人士 (CA) 被挟持(hacked)，被迫乱签 google、yahoo等 着名网域的凭证给第三方人士，所以遇到这些持有假凭证的人，你电脑也会自动 相信他们。好可怕呀～ http://blog.gslin.org/archives/2011/03/26/2537/ : → Equalmusic:那连结真有趣...看完有点懂又好像没懂...XDD 05/05 13:54 : → Equalmusic:我之前都是勾 always trust...但是这样是不是不安全？ 05/05 13:55 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.169.160.222