通过查看问题是否来自不受信任的CA来检测中间攻击中的man

Question

我希望在这些问题上提供任何帮助或指导:我的客户正在使用一个在Azure中托管的应用程序打开的服务器。(在login.microsoftonline.com)

主机开始提供由不同CA颁发的不同证书：

旧证书：

Issuer: C=US, O=Symantec Corporation, OU=Symantec Trust Network, CN=Symantec Class 3 EV SSL CA - G3

新证书有时返回：

Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, OU=Microsoft IT, CN=Microsoft IT SSL SHA2

客户通过使用OpenSSL命令(转储主机的证书详细信息)获取证书信息。

他们需要对此主机的行为进行一些澄清:如果客户端只列出所需的证书颁发机构，这是该主机可以公开的证书列表？这样的名单应该是稳定的还是可能改变的？由于该主机是关键安全数据的生成者，他们希望了解如何以安全的方式识别它(而不存在将通信暴露于中间人攻击的风险)。

非常感谢您的帮助！

Answer 1

域的所有者决定对属于该域的证书使用哪个CA。因此，您需要询问域所有者(在本例中为Microsoft )，他们计划在未来使用哪个CA。

现在看来，微软正在使用子CA "Microsoft SHA2“，这是微软自己拥有的。这个子CA本身不受任何浏览器的信任，但它是由根CA“巴尔的摩CyberTrust根”签名的，该根位于浏览器信任存储区中。但这可能会改变，即微软可能决定使用不同的子CA，然后可能由不同的根CA发出。问问他们未来的计划。