2010年9月14日星期二

Skype登录证书被劫持

上月在Skype的网页上登录,发现了一个非常值得警惕的现象,在https://login.skype.com页面,Chrome提示如下警告:

这表明所浏览网站的SSL证书有问题。

浏览器警告证书有问题的情况并不罕见,多数情况是因为证书不是由所用浏览器认可的权威证书颁发机构颁发的。比如Savannah使用的是CACert颁发的证书,而Firefox之类的浏览器没有内置CACert作为权威证书颁发机构,所以打开会有警告,但是据说Debian下的Iceweasel含了CACert作为CA。还有清华大学的校园网用户登录页面,一直在用一个2003年就过期了的无效证书。在试图下载微软Office 2010试用版的时候,我还头回碰到网页证书被颁发机构召回的情况。
但是Skype的安全登录页面出现问题,那得警惕了。我点击Chrome地址栏左边的红色骷髅,打开了网页的证书,发现是个叫bb-in.com的网站自颁发的证书,这显然不是个CA。另外,证书的授予对象是他们网站,而不是login.skype.com。

此时,我没有登录。当我用OpenVPN翻墙后再打开这个页面,没有安全警告,证书也是可信任的:

可惜当时没有对假冒的证书抓图,第二天就去出差了。等出差回来,再试验发现又没有这个问题了。

Skype安全登录的证书变成一个莫名的证书,但是用了VPN翻墙就好了。是中间有人故意作梗想偷窃用户隐私,还是仅仅是技术错误,我现在还没有足够的证据来分析。但是,这件事件让我进一步感到,在中国上网有着这么多的陷阱,让人防不胜防。对于刚刚上网的无知初级网民,他们何时才能知道这些陷阱呢?

顺便友情提醒,在国内上skype.com会自动跳转到tom.skype.com,上面提供的Skype是接受中国监控的,这一点Skype公司本身也承认的,所以千万不要去下载上面的Skype。要下载的话,翻墙后再上,就不会被跳转了。
------------------------------------
即兴送上腾迅公司的Gmail钓鱼页面:

2010年9月9日星期四

OpenVPN的DNS推送

OpenVPN Access Server管理页面中的VPN Settings下面,有DNS Settings,可以让客户端使用和服务器端相同的DNS。在Windows下用OpenVPN后,DNS自动变成了服务器端的,所以twitter.comfacebook.com等被DNS污染的网站,也可以上去。同样的VPN,在Linux下用OpenVPN命令连接后(# openvpn --config client.ovpn),DNS还是不变,因此被DNS污染了的网站也上不去。这个待深入研究。