2009年11月开始,我多次发现GMAIL的证书在变化,我于是截图放在twitpic.com 上面和网友讨论。
我发现,我曾截取的图片显示mail.google.com 有三张证书,分别颁发于2009/3/25 、2009/12/18、 2009/11/12 图片在这里 http://twitpic.com/photos/zuola 下面我分别贴出图片:
- http://twitpic.com/pzpgu Posted on November 18, 2009下图显示,我安装的一个叫”Certificate Patrol” 的firefox插件提醒我 mail.google.com 的安全证发生了变化,之前的证书颁发于于2009/3/25,由Thawte SGC CA颁发;新证书由Google Internet Authoryty 颁发,新证书的颁发日期为2009/11/12。
- http://twitpic.com/pzq3h 200911月18日,得到警告。下图是又换回最初的证书了,换回于2009/3/25由Thawte SGC CA颁发的证书;
- http://twitpic.com/vkkn9 2009年12月28日,我又得到警告。下图证明又来了一份安全证书,于2009/12/18由Thawte SGC CA于零点零分零秒颁发,这个证书非常可疑,怎么做到如此准时的?难道不像前两张证书一样由机器生成?这张证书是手工生成的?
BTW: Google的另一个重要的服务,GOOGLE DOCS, 一个用于存放在线文档的地方,我今天在访问的时候提示下面的警告:
http://twitpic.com/yq0np 今天2010年1月19日截图,这张图显示,google不再使用Thawte SGC 来颁发安全证书,奇怪的是,在颁发前一个证书后的第四十天,又重新颁发了一张新证书。这种情行是极不合理的。
另,我的blackberry 8310安装了google sync ,最近多次提示链接不安全,请选择继续或关闭链接,我觉得奇怪,所以选择的是关闭链接。有twitter网友huawuban也说遇到同样的现象。
疑问和猜测:
- GOOGLE的GMAIL和DOCS不合常理地频繁更换安全证书是否为正常行为?
- 是GOOGLE公司的人亲自做的操作还是中国政府用了手段?
中国政府如果通过劫持DNS,再加上私下获得的Thawte SGC CA签名的安全证书的private key是可以避开浏览器的安全警告,从而构建一个SSL内容嗅探的网关,通过此跳板开成一个中间人,实现劫持密码和通信内容。吴洪声写过一张篇详细的日志介绍此思路《SSL窃听攻击实操》http://wuhongsheng.com/it/2009/09/ssl-hijack/
解决方案:
联系上GOOGLE的工作人员,向他们汇报并核实此情况,我希望能听到他们对这些安全证书的解释,最好能有合理的解释不让我怀疑中国电信和中国警察在试图嗅探GMAIL内容。希望能看到我BLOG并能联系上山景城(Mountain View)的GOOGLE员工,我希望能理解此现象。
我是一名大学生,在使用教育网登陆Gmail时就会提示证书不受信任!但是用电信的网就可以直接登陆成功,不会提示证书问题!
刚才忘记一个问题,在那一段时间我的帐户经常被锁定! 在推上询问也没有结果,窘啊!还有就是有几次我在FF下试图添加特例,但是他又提示说已经提供了可信的证书不需要添加特例
图片看不到,咋回事
怀疑图片的url李wordpress字样导致被墙掉了……
我覺得正常。話說居然有Google Internet Authority。。。
如果GOV能夠獲取任何一個CA私鑰,這確實將是災難性的事情。。幸運的是所有瀏覽器內置的根CA都是國外可信賴的公司,沒理由懷疑它們與GOV勾結/合作。
刚才对照了一下直连gmail和通过代理接入gmail,发现ssl证书的public key不一样,是不是意味着gmail已经收到中间人攻击了?http://twitpic.com/ys2tj http://twitpic.com/ys2qm
昨天我遇到了更加过分的情况,直接就没有证书了,截图在这里:
http://blog.163.com/iamyuguo@126/blog/static/328033302010018471840/
非常心神不宁
我现在在日本,看到的证书是:
序列号:2F:DF:BC:F6:AE:91:52:6D:0F:9A:A3:DF:40:34:3E:9A
SHA1指纹:40:50:62:E5:BE:FD:E4:AF:97:E9:38:2A:F1:6C:C8:7C:8F:B7:C4:E2
MD5指纹:C4:70:74:FB:69:F9:E3:94:7E:8B:28:A4:00:73:DE:01
主题:CN = http://www.google.com
O = Google Inc
L = Mountain View
ST = California
C = US
发行者:CN = Thawte SGC CA
O = Thawte Consulting (Pty) Ltd.
C = ZA
我上面弄错了,我给的是登录页的证书,也就是https://www.google.com/accounts/ServiceLogin
确实非常可疑。我的推断是Google的至少存放key的服务器已经被攻克过了。难怪google反应这么大。
我在芬兰,证书中序列号和指纹不同,其他信息,包括颁发日期都是一样的。严重怀疑LZ拿到的证书有问题!!
我在自己的博客上上传了证书照片和PEM格式的证书链,请大家检查!!
http://steventalk.wordpress.com/2010/01/20/%E8%AF%B7%E5%A4%A7%E5%AE%B6%E6%B3%A8%E6%84%8Fgmail%E8%AF%81%E4%B9%A6%E7%9A%84%E9%97%AE%E9%A2%98%EF%BC%81%EF%BC%81/
搞错了,刚才没有发现你的证书的新旧对比的……和我这里的是一样的:)
@anonymous,树杈儿你的头像暴露了……这还匿名个毛阿。
用代理服务器或VPN获取的也是这个2009-12-18 0:00:00 GMT颁发的证书。
国外的朋友呢?
我感觉可能是Google在大规模更换证书,可能是之前被攻击过,所以要更换证书来保证安全。
@wenhaoy: 防火防盗防CNNIC,微软已经把CNNIC列为根证书发布者。换句话说,如果GFW想做一个Gmail的https钓鱼网站,浏览器不会有任何告警。。。 http://bit.ly/s2jVz