SSL证书主要用来保护客户端(比如浏览器,手机App)与服务器之间的通信安全,通过在信息传输之前,加密传输的内容,从而保护通信内容不被窃听。在这过程中,SSL证书起到了非常关键的作用。一般来说,SSL证书的名字应该严格和访问的目标站点的域名严格匹配上,否则我们就要怀疑其证书是否是伪造的,比如,我们在IE中可以通过点击浏览器上方的锁来查看百度证书,如下图所示意,百度的证书就是颁发给百度网站的,没有什么特别的,下面再看看taobao网站的SSL证书,比较特殊,而且非常的特殊,访问的站点和证书名字竟然匹配不上。
为了照顾更多的读者,下面笔者用Chrome打开taobao的网站,如果是Chrome浏览器,在最新的Chrome浏览器,可以通过按下F12的键(或者鼠标点击右键:检查),然后在安全(Security)子页面来查看其证书,比如淘宝的网站,我用Chrome查看其证书,很奇怪的是,我打开的taobao.com的域名网站,结果其证书却是颁发给天猫的(*.tmall.com), 那这个就很奇怪了,证书的名字和要访问的网站的名字对不上了,那这个网站还安全吗?
答案是肯定的,肯定安全,要知道淘宝的安全专家可不是吃软饭的,那这个是为什么呢?原来,后面↓X509技术标准委员会考虑到下面的一种场景:
比如说,有一个大型互联网公司,其有几十个甚至上百个公共的互联网站点,如果给每一个站点都申请一个证书,那么就要维护几十个甚至上百个公共的互联网站点的证书,如果一旦某一个站点的证书没有放对,这个就可能导致这个站点的https的访问不受信任,维护和管理的成本比较高,考虑这种情况,其给SSL的证书加了一个新的扩展属性, Subject Alternative Name(翻译成中文就是:可替代主题名),说的白话一些就是,我可以把当前的一个证书,供多个域名站点共同使用,关键的地方来了,而且通过查这个字段的值,我们还能知道这个证书被那些域名共同使用了。从而发现一些平常我们不知道的淘宝技术秘密,那就是淘宝到底有多少的域名站点。
下面的就是其Subject Alternative Name(翻译成中文就是:可替代主题名)的值的列表,整整有67个淘宝的域名站点都使用这个公共的SSL证书。这个其实也是一把双刃剑,虽然维护方便了,但是安全风险也大大的提高了,试想如果淘宝的SSL证书的私钥一旦被攻破,那所有的这67个网站的信息,在传输的过程中就能被解密,后果不堪设想,也行笔者是杞人忧天,但是也不是没有可能性,你们觉得呢?
- 如果你对笔者的分享感趣的话,请收藏并关注我的自媒体号;
- 如果你想独家Get到我的技术分享,请请收藏并关注我的自媒体号
- 如果你有任何疑问需要探讨,欢迎在文章末尾留言,我尽量在第一时间个大家回复。
