淘宝!我凭什么相信你颁发的支付宝数字证书?【技术贴】【安全专家,叫兽请进】
我看到:支付宝证书是由“Alibaba.com Corporation User CA机构”颁发的。
PKI里写得清清楚楚:“数字证书应该由双方都信任的第三方机构颁发”,确切地说,是“签发”!
OK,马云你自己给自己签发,你当然相信了这个CA了,可问题来啦:我凭什么信任这个Alibaba.com Corporation User CA证书颁发机构呢?
PKI里还写了:”数字证书是带有CA签名的”,可是问题是我怎么验证这个签名呢?必须有CA的公钥证书啊!
可是这个CA的公钥证书,又由谁签发呢?我又怎么验证呢?
而且现在可是谁都可以作为CA签发数字证书啊!普通客户端凭什么去验证颁发机构CA呢?
打个比方吧:
浏览网页的时候
某钓鱼网站网站A给我的浏览器发送了一个数字证书,证书声称http://i_am_alipay.com是支付宝的网站,这个证书是Alibaba.com Corporation User CA机构颁发的。
当然了,既然它是钓鱼的,那肯定不是马云那个“Alibaba.com Corporation User CA机构”颁发的了,但是它可以自己建一个CA啊,名字也叫“Alibaba.com Corporation User CA机构”,然后骗我们把这个假的“Alibaba.com Corporation User CA机构”加入到IE的受信任颁发机构列表里!
这样一来,颁发真的淘宝数字证书的那个CA,和这个钓鱼网站的CA,客户端要怎么分辩呢?
如果没法区分,麻烦不是大啦?!
我靠!!昨天想这个问题想了一天,没有想通!
我后来想啊:
除非“Alibaba.com Corporation User CA机构”这个CA,由另外一个CA来签发,这个CA又由另外一个CA,***,一直蛋疼,找到一个全球唯一的CA(全世界都相信的CA,这个CA的证书就叫根证书吧??)来签发,不然没办法啊!
我整理一下关系啊:
公钥证书A1 ---- 带有----颁布机构CA1的签名B1 签名B1-----用-----CA1的公钥证书A2验证 公钥证书A2 ---- 带有----颁布机构CA2的签名B2 签名B2-----用-----CA2的公钥证书A3验证 …… 公钥证书An ---- 带有----全世界最牛B颁布机构CAn的签名Bn 签名Bn-----用-----CAn的公钥证书An验证 An -------世界都认它!无需签名!不证自明!
最后这个An就在我电脑某处存着,是根证书!最牛B的,不可怀疑的,请保护好,不能被篡改!
是这个意思啵?请指教!
如果是这个意思,我更纠结了:TMD还有不需要签名,不证自明的公钥证书啊!凭啥啊!
还有,这个最牛B的CA的根证书一定得事先在我电脑某处保存着吧?要不然,我上哪弄根证书去啊!?
可是如果电脑里某个地方保存,那万一该根证书中公钥被哪个NB的黑客或者恶意程序,改成它自己的公钥了怎么办?
我靠!!那这个存在我电脑里的这个根证书也太TMD重要了吧,这么重要的东东死也要看好才行啊!比什么管理员root密码还重要得多啊!那可是钱啊!
怎么却从来没人跟俺提过呢?
越想越糊涂了!
求大家了!我现在纠结死了!
请安全专家们救我!
可卿救我!!!
老婆一年在淘宝上买上万块的东东,身为技术人员,不搞清楚这个说得过去吗?
说得过去么? !
说得过去么? !
说得过去么? !
说得过去么? !
朋友们,就是不懂,请你们也帮我顶下!
淘宝!我凭什么相信你颁发的支付宝数字证书?【技术贴】【安全专家,叫兽请进】相关推荐
- 上海交大牵手淘宝成立媒体计算实验室:推动视频超分等关键技术发展
7月27日,上海交通大学电子信息与电气工程学院与阿里巴巴集团大淘宝技术宣布达成战略合作,共同成立上海交通大学电子信息与电气工程学院-淘宝(中国)软件有限公司媒体计算联合实验室(下称"联合实验 ...
- 在非淘宝店网站的个人网站如何利用支付宝在线支付接口?
QQ:<3O⑤⑦10439>支付宝免签约即时到帐接口关联|各种行业,网站,商城,均可实现在线支付, 想在网站上实现移动支付, 扫码支付,即时到帐,担保交易,手机网站支付, 它是最著名的程序 ...
- 【读书笔记】商业自传-阿里巴巴/淘宝/阿里云/支付宝,亚洲电子商务教父:马云传_2019.10.25
[概述] 书名:马云传 作者:中国. 刘淑霞 日期:2019年10月25日 大事件记录:今日,国内代码管理网,码云服务器连接停止解析. 读书用时:368页,历时2.5小时. [读书笔记] ◆ 第1章 ...
- 从个人网站到淘宝网 仰观Java时代淘宝的技术发展
从2003年的一个个人对个人(C2C)的商品交易网站到如今的淘宝网,其实在作为个人网站发展的时间里并不长.那么在这段时间里,淘宝究竟是如何发展的呢?在这篇文章里我们将找到淘宝网的发展历史以及所用到的技 ...
- 淘宝技术发展 - 子柳撰写
http://kb.cnblogs.com/page/132724/ 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术发展(Java时代:脱胎换骨) 五.淘宝技术发展(Jav ...
- 淘宝网发展史:揭开神秘组织的技术内幕
一.引言:光棍节的狂欢 "时间到,开抢!"坐在电脑前早已等待多时的小美一看时间已到2011年11月11日零时,便迫不及待地投身于淘宝商城一年一度的大型网购促销活动--"淘 ...
- 你不知道的关于淘宝公司的秘密——淘宝成立内幕
一.引言:光棍节的狂欢 "时间到,开抢!"坐在电脑前早已等待多时的小美一看时间已到2011年11月11日零时,便迫不及待地投身于淘宝商城一年一度的大型网购促销活动--"淘 ...
- 转自cnblogs 淘宝技术发展
看后深有感触,转帖共赏之: 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术发展(Java时代:脱胎换骨) 五.淘宝技术发展(Java时代:坚若磐石) 六.淘宝技术发展(Ja ...
- [转] 淘宝技术发展
作者: 赵超 来源:http://blog.sina.com.cn/s/blog_633219970100x9cc.html 目录 一.引言 二.个人网站 三.Oracle/支付宝/旺旺 四.淘宝技术 ...
最新文章
- 我发现了一个非常酷的软件,用自然语言编程!
- nginx负载均衡高可用
- 网页中文乱码--UTF-8和GB2312互转
- [react-router] React-Router 4怎样在路由变化时重新渲染同一个组件?
- pytorch argmax_轻松学Pytorch使用ResNet50实现图像分类
- phpcms网站搬家至服务器
- 菜鸟进阶Linux高手之路——第三天
- 信息学奥赛一本通(2035:【例5.2】平移数据)
- 资源下载| 机器学习经典书籍《统计学习方法》(Python3.6)代码实现(及课件)
- 返工在即,国家级“赛马”!多家技术公司发力,AI解决“大规模人群”零接触测温...
- Adobe reader 在打开时如何恢复上一次阅读位置
- C++ Opencv 安装配置
- VIVADO中使用BD时,常用的IP
- Python-OpenCV 读取和保存视频和解决保存失败的原因分析
- php找爸爸,暖哭!萌娃外滩找爸爸:“他两天没回家”
- python 求平面两点距离_Python求平面内点到直线距离的实现
- Google MapReduce论文中文版
- Excel使用公式引用其它sheet数据创建序列,无法忽略空白值的解决办法
- Ahao网络传媒技术收徒
- LLM__llama-7B模型试验