但是,我应该再传一次警告。由于此漏洞允许攻击者为系统连接到未打补丁的DNS服务器的任何人中毒DNS,因此攻击者也可以绕过内置于加密Web会话中的防护。
Web加密使用SSL / TLS(安全套接字层/传输层安全性),这是一种标准,它依靠三种方法来确保您的浏览器仅连接到另一端的正确方以获得安全链接。
[进一步阅读:用于媒体流和备份的最佳NAS机箱]
第一,每个使用SSL / TLS的Web服务器都必须有一个证书,每个服务器或一个组证书。此证书标识服务器。其次,证书绑定服务器的域名。您可以获得www.infoworld.com的证书并将其与www.pcworld.com一起使用。
第三,证书颁发机构验证为给定域名请求证书的一方的身份。一个经营这种权力的公司会验证申请证书的人和公司的身份,然后创建一个证书,并将他们的祝福加密地加入到证书中。 (现在可以使用更高级别的验证,这就是为什么您会在最新版本的Internet Explorer和Firefox的位置字段中看到一个很大的绿色区域,这表明已执行扩展验证。)
这些证书颁发机构本身具有证明他们身份的证书集合,以及预先安装在浏览器和操作系统中的证书。在连接到Web服务器时,浏览器在开始会话之前检索公共证书,确认IP地址和域名匹配,验证证书的完整性,然后检查授权签名的有效性。
如果任何测试都会失败,您的浏览器会提醒您。由于DNS漏洞,攻击者可能会将您的银行或电子商务会话重定向到他们模拟的各个公司运行的安全站点版本,并且您的浏览器不会注意到IP地址的差异,因为伪造证书中的域名将与IP攻击者植入的地址。
但是,您的浏览器会注意到没有附加的可信认证机构签名。 (到目前为止,还没有关于这些机构的任何成功社会工程与DNS漏洞相关的报道)。您的浏览器会告诉您证书是自签名的,这意味着攻击者使用了一个快捷方式并且遗漏了某个机构的签名,或者使用了一个不受信任的权威机构,即攻击者自己创建的。 (使用开源工具创建一个权威是很简单的,这对公司和组织是有帮助的,我自己也是这么做的,但这些独立权威并没有被浏览器验证,除非你手工在这些机器上分别安装证书。)
我的警告是,如果您从浏览器获得任何类型的证书或SSL / TLS警告,请停止连接,致电您的ISP或IT部门,并且不要输入任何个人或公司信息。 >