타운광장토픽게시판

https://crt.sh/?id=8169164

https://crt.sh/?id=6990343

https://crt.sh/?id=6797278

 

ㅋㅋㅋ 나라가 참;

 

이게 나라가 할짓인지

  • ?
    먼뜻인지...ㅎ
  • ? ?

    국가가 co.kr or.kr 도메인에 대한 와일드카드 인증서를 발급했습니다(라는 기록이 있습니다). 그말은 즉 국가가 마음만 먹으면 해당 국가코드의 도메인에 대해 자신이 진짜 도메인인것처럼 행동할 수 있다는 거죠...

  • ? profile
    *.co.kr로 발급했으니 example.co.kr은 마음대로 감청할 수 있겠지만,
    *.*.co.kr은 SSL 스펙상 불가능하니 www.example.co.kr은 아직 안전하네요 ㅋㅋ
  • ?

    에.. 합법적인 피싱 사이트 운용이 가능하다는거죠?
    google.co.kr로 왔다갔다하는 트래픽을 가로챈다던가..

    아.. 그렇게까지 하려면 DNS도 건드려야 하나..?

    뭐 KT DNS같은거야 나라꺼나 다름없으니...

    근데 진짜 뭐하려고 저런 인증서를 받았을까요...

    혹시 우리가 모르는 다른 용도가 있는거 아닐가요?

  • ? ?

    네 국가가 마음만 먹으면 피싱 사이트 운용이 가능합니다 ㅋㅋ 근데 국내 대부분 일반적인 PC는 국내의 DNS서버로 통하고 있기 때문에 뭐 거기도 마음만 먹고 살짝 손본다면 잘 모르는 사람들은 다 당하겠네요 (덜덜)

     

    안그래도 요즘 https감청한다고 어쩌구 자와자와 하던데 더 무섭네요

  • ?
    하긴 전국민 대상으로 피싱할 필요는 없고 감청할 타겟 한명만 속이면 되니까 생각보다 소규모로 가능하겠네요.. 그 사람 집에 들어가는 인터넷 회사하고 짜고서 DNS 바꾸고 피싱 사이트로 보내버리면 다 털려~~
  • ?
    GPKI 인건가요?...
    여러분 파이어폭스 개발진이 이렇게 선구안이 있습니다!......
  • profile

    한국 정부, 중국 업체 등이 발급하는 인증서는 신뢰하지 않습니다... 파이어폭스에서 한국 정부는 이미 불신 상태이지만, 설정 화면에 들어가 보면 영 미덥지 못한 인증서 발급 기관이 여전히 꽤 많이 등록되어 있더군요.

     

    이런 문제를 막기 위해 "이 사이트는 ○○에서 발급한 인증서만 사용합니다"라고 미리 선언해 두는 HPKP라는 기술이 있는데... 여러 가지 문제 때문에 널리 사용되지는 못하고 있어요.

     

    다행히 구글은 크롬과 파이어폭스 개발팀에게 자기네가 사용하는 인증서 정보를 미리 알려주었기 때문에, 어설프게 google.co.kr 인증서를 바꿔치기하려고 했다가는 대문짝만한 보안 경고가 뜨는 것은 물론, 실시간으로 구글에 신고가 들어갈 겁니다. 중동의 어느 나라에서 구글을 감청하려고 한다거나, 이런 사건이 발생하면 즉시 알아차릴 수 있도록 시스템이 마련되어 있거든요. 물론 익스플로러 따위를 쓴다면 이것도 소용없겠지요 ㅜㅜ

  • profile
    좋은 정보 감사합니다
  • profile
    범죄 수사에라도 활용할 생각인걸까요? 뭔가 국가가 사생활 침해를 시도하려는 것처럼 들리는데ㅋㅋ..
  • profile
    https://bugs.chromium.org/p/chromium/issues/detail?id=823665
    이 주소 보시면 아예 인증서 발급시 최소한의 검증조차 하지 않는 모양입니다. StartSSL/WoSign보다 더하네요.
  • profile
    심각하네요 ..

    고등학교 도메인도 있는거 같은데 악용해서 사기칠려면 어찌 감당할려고 하는건지..