本文地址：http://www.williamlong.info/archives/1942.html作者:月光SSL的窃听和安全最近颇受关注，吴洪声提出了一种SSL窃听攻击的思路，主要是利用了CA签发证书的一个重大缺陷：只验证目标网站的域名信箱即可签发该网站的证书，因此，只要搞到目标网站的一个信箱，就可以窃取到这个域名的SSL证书。因此，大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性，Gmail由于使用mail.google.com而不是www.gmail.com，因此得以幸免于难。然而，有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书，一旦该证书被用于大规模的域名劫持，后果不堪设想。如果想要避免这种SSL证书窃取，CA需要修改目前的签发流程，即在签发前需要验证申请者对于该网站具有管理权限，例如，在网站的首页增加一小段隐藏代码，或者在网站上传一个指定的HTML文件，这样，只有真正的网站拥有者才能做这样的操作，非法窃取者即使有了该域名的邮件，也无法获取该域名的证书。当然，从根本上讲，这个攻击并非对SSL安全协议本身的攻击，只是对其发行机构的攻击，SSL协议目前来说还是安全可靠的。名词注释：SSL安全套接字层 （Secure Sockets Layer，SSL） 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道，用以保障在 Internet 上数据传输之安全，SSL 利用数据加密技术，确保数据在网络上之传输过程中不会被截取及窃听，它也可以在客户端应用程序和 Web 服务之间使用。