淘宝!我凭什么相信你颁发的支付宝数字证书?【技术贴】【安全专家,叫兽请进】
我看到:支付宝证书是由“Alibaba.com Corporation User CA机构”颁发的。
PKI里写得清清楚楚:“数字证书应该由双方都信任的第三方机构颁发”,确切地说,是“签发”!
OK,马云你自己给自己签发,你当然相信了这个CA了,可问题来啦:我凭什么信任这个Alibaba.com Corporation User CA证书颁发机构呢?
PKI里还写了:”数字证书是带有CA签名的”,可是问题是我怎么验证这个签名呢?必须有CA的公钥证书啊!
可是这个CA的公钥证书,又由谁签发呢?我又怎么验证呢?
而且现在可是谁都可以作为CA签发数字证书啊!普通客户端凭什么去验证颁发机构CA呢?
打个比方吧:
浏览网页的时候
某钓鱼网站网站A给我的浏览器发送了一个数字证书,证书声称http://i_am_alipay.com是支付宝的网站,这个证书是Alibaba.com Corporation User CA机构颁发的。
当然了,既然它是钓鱼的,那肯定不是马云那个“Alibaba.com Corporation User CA机构”颁发的了,但是它可以自己建一个CA啊,名字也叫“Alibaba.com Corporation User CA机构”,然后骗我们把这个假的“Alibaba.com Corporation User CA机构”加入到IE的受信任颁发机构列表里!
这样一来,颁发真的淘宝数字证书的那个CA,和这个钓鱼网站的CA,客户端要怎么分辩呢?
如果没法区分,麻烦不是大啦?!
我靠!!昨天想这个问题想了一天,没有想通!
我后来想啊:
除非“Alibaba.com Corporation User CA机构”这个CA,由另外一个CA来签发,这个CA又由另外一个CA,***,一直蛋疼,找到一个全球唯一的CA(全世界都相信的CA,这个CA的证书就叫根证书吧??)来签发,不然没办法啊!
我整理一下关系啊:
公钥证书A1 ---- 带有----颁布机构CA1的签名B1 签名B1-----用-----CA1的公钥证书A2验证 公钥证书A2 ---- 带有----颁布机构CA2的签名B2 签名B2-----用-----CA2的公钥证书A3验证 …… 公钥证书An ---- 带有----全世界最牛B颁布机构CAn的签名Bn 签名Bn-----用-----CAn的公钥证书An验证 An -------世界都认它!无需签名!不证自明!
最后这个An就在我电脑某处存着,是根证书!最牛B的,不可怀疑的,请保护好,不能被篡改!
是这个意思啵?请指教!
如果是这个意思,我更纠结了:TMD还有不需要签名,不证自明的公钥证书啊!凭啥啊!
还有,这个最牛B的CA的根证书一定得事先在我电脑某处保存着吧?要不然,我上哪弄根证书去啊!?
可是如果电脑里某个地方保存,那万一该根证书中公钥被哪个NB的黑客或者恶意程序,改成它自己的公钥了怎么办?
我靠!!那这个存在我电脑里的这个根证书也太TMD重要了吧,这么重要的东东死也要看好才行啊!比什么管理员root密码还重要得多啊!那可是钱啊!
怎么却从来没人跟俺提过呢?
越想越糊涂了!
求大家了!我现在纠结死了!
请安全专家们救我!
可卿救我!!!
老婆一年在淘宝上买上万块的东东,身为技术人员,不搞清楚这个说得过去吗?
说得过去么? !
说得过去么? !
说得过去么? !
说得过去么? !
朋友们,就是不懂,请你们也帮我顶下!
淘宝!我凭什么相信你颁发的支付宝数字证书?【技术贴】【安全专家,叫兽请进】相关推荐
- 上海交大牵手淘宝成立媒体计算实验室:推动视频超分等关键技术发展
7月27日,上海交通大学电子信息与电气工程学院与阿里巴巴集团大淘宝技术宣布达成战略合作,共同成立上海交通大学电子信息与电气工程学院-淘宝(中国)软件有限公司媒体计算联合实验室(下称"联合实验 ...
- 在非淘宝店网站的个人网站如何利用支付宝在线支付接口?
QQ:<3O⑤⑦10439>支付宝免签约即时到帐接口关联|各种行业,网站,商城,均可实现在线支付, 想在网站上实现移动支付, 扫码支付,即时到帐,担保交易,手机网站支付, 它是最著名的程序 ...
- 【读书笔记】商业自传-阿里巴巴/淘宝/阿里云/支付宝,亚洲电子商务教父:马云传_2019.10.25
[概述] 书名:马云传 作者:中国. 刘淑霞 日期:2019年10月25日 大事件记录:今日,国内代码管理网,码云服务器连接停止解析. 读书用时:368页,历时2.5小时. [读书笔记] ◆ 第1章 ...
- 从个人网站到淘宝网 仰观Java时代淘宝的技术发展
从2003年的一个个人对个人(C2C)的商品交易网站到如今的淘宝网,其实在作为个人网站发展的时间里并不长.那么在这段时间里,淘宝究竟是如何发展的呢?在这篇文章里我们将找到淘宝网的发展历史以及所用到的技 ...
- 淘宝技术发展 - 子柳撰写
http://kb.cnblogs.com/page/132724/ 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术发展(Java时代:脱胎换骨) 五.淘宝技术发展(Jav ...
- 淘宝网发展史:揭开神秘组织的技术内幕
一.引言:光棍节的狂欢 "时间到,开抢!"坐在电脑前早已等待多时的小美一看时间已到2011年11月11日零时,便迫不及待地投身于淘宝商城一年一度的大型网购促销活动--"淘 ...
- 你不知道的关于淘宝公司的秘密——淘宝成立内幕
一.引言:光棍节的狂欢 "时间到,开抢!"坐在电脑前早已等待多时的小美一看时间已到2011年11月11日零时,便迫不及待地投身于淘宝商城一年一度的大型网购促销活动--"淘 ...
- 转自cnblogs 淘宝技术发展
看后深有感触,转帖共赏之: 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术发展(Java时代:脱胎换骨) 五.淘宝技术发展(Java时代:坚若磐石) 六.淘宝技术发展(Ja ...
- [转] 淘宝技术发展
作者: 赵超 来源:http://blog.sina.com.cn/s/blog_633219970100x9cc.html 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术 ...
最新文章
- C#下用P2P技术实现点对点聊天
- 前端学习(3059):vue+element今日头条管理-优化文章状态
- 【R】OPPO发布惊人技术,这才是未来手机该有的样子啊!
- linux下安装微信,qq,企业微信,百度网盘,Foxmail等软件方法
- window7梦幻桌面
- Nssm Edit XXX
- 基于python的在线考试系统-基于Django的在线考试系统
- 《指针的编程艺术(第二版)》一3.10 程序实战
- 黄山行之《黄山前山游》
- 网络技术| 说说计算机网络及IP地址 -- 网络基础 跳线制作 IP地址配置
- 批处理之读写ini配置文件
- 用程序编写计算公式的高次方程数字计算机
- Vue-Router学习记录
- Java找出游戏的获胜者leetcode_1823
- Codeforces Round #193 (Div. 2) B. Maximum Absurdity(线段树+思维)
- 使用numpy实现李代数se(3)和SE(3)之间的指对数映射
- 「扫盲」 Elasticsearch
- 计算机语言中cns代表什么,CNS是什么?怎么用?
- php.ini 优化 oa,OA办公系统常见问题解答
- suse 11 rhel 下载