什么威胁可能来自于私有局域网中过时的证书

Question

在我们公司，我们使用局域网“大约1,000个用户”，服务于内部服务器，包括电子邮件、DNS和许多web服务器。

每当我访问任何一个网络站点时，我都会收到一条关于过期证书的消息。当我和他们的网络管理员交谈时，他说可以在我的浏览器中添加一个异常，然后继续。

我知道潜在的MITM攻击，但作为一个正常的用户，我应该做些什么来保护我的隐私，特别是其中的许多网站是为了金融业务。

谢谢。

Answer 1

X.509证书在web浏览上下文中有几个用途，其中包括：

• 客户端(用户)可以与“受信任”实体检查他们是否确实将证书发布给服务器，声称是这样做的。这个检查是相当主观的(对于扩展验证证书来说也不那么重要)，但是到目前为止没有什么比这更好了。
• 供服务器检查连接客户端。这很少用于“人”浏览，但是对于服务器到服务器之间的通信来说很常见(或者至少更常用)。

您可以使用它们中的任何一种，也可以不使用--但始终存在的是浏览器和目标服务器之间的安全加密隧道。

这意味着，如果您知道您所针对的服务器是正确的服务器，则可以从浏览器中丢弃警报。他们只是告诉您，您所连接的不是证书所声称的内容，或者该信息没有被第三方检查(你们都信任)。连接(加密)的技术安全性不受影响。

证书的过期(或它持有的其他信息的不正确)使其“可信度”无效，但加密部分无效。你的连接还是安全的。如果证书本身不安全(例如，修改)，则根本无法设置连接。

Answer 2

过期的证书不一定意味着它是危险的。在我看来，签发证书的有效期有三个主要原因：

1. 如果攻击者试图破解证书上的签名并制作假证书，这是他们花费大量资金破坏证书所需的最短时间。
2. 为了防止数据库大小无法控制地增长，大多数证书颁发机构(CA)不跟踪过期证书的吊销信息。这意味着，如果证书曾经被黑客入侵，你和你的浏览器是找不到答案的。
3. 因此，颁发证书的CA可以每年向您的公司收取新证书的费用。

底线:除非你公司的内部服务器对黑客来说是一个多汁的大目标，否则你可以继续信任过期的证书。尽管如此，在添加例外之前，请尽职调查并查看浏览器中的证书，并确保( 1)发出该证书的站点或服务器对您的公司有意义；2)颁发的CA与您的公司使用的CA相同(询问it人员)。