原标题:韩国资安研究员踢爆:以色列StartSSL凭证主机竟在奇虎360中国机房
长期使用以色列StartSSL凭证服务的韩国资安研究员Pierre Kim,近日却发现SSL主机从去年底偷偷变成了奇虎360中国机房內的伺服器。他上网公开了停用StartSSL改换成Let's Encrypt的过程,在知名技术论坛Hacker News引起开发者热烈讨论,连中国开发社群都高度关注。
Pierre Kim先前踢爆过多项漏洞,如Totolink旗下20款路由器有后门问题,或是华为多款旧型3G路由器中的安全漏洞。最近他发现,从去年12月后,以色列公司Startcom凭证服务StartSSL的网域IP位址,从原本位于以色列的192.116.242.27,转为一个位于中国电信机房的IP位址104.192.110.222。
透过Whois查询104.192.110.222时,Pierre Kim发现,此IP已在2014年被QIHU 360所拥有(即奇虎360),再搭配DNS查询网站WhatsMyDNS比对,可查出StartSSL并非透过CDN服务来派送,因此,他认为,这个IP就是真实主机的IP,而且全球各地StartSSL服务的IP位址却都指向奇虎360是拥有者。因此Pierre Kim推断,StartSSL的PKI(Public Key Infrastructure)已经被奇虎360所掌握。因此,他决定停止使用StartSS,转为使用Let's Encrypt。
在去年12月时,Startcom官网的确对外宣布,2015年稍早已在中国深圳设立研发中心,除了扩展在中国的事业外,也用于提供中国当地服务,但是Startcom并未透露,会由中国机房来提供全球服务。
Pierre Kim认为,从官网声明,虽然仅能看出Startcom去年的确在中国展开了业务扩张的行动。但他认为,除非StartSSL解释清楚为何自家的PKI会交由奇虎360托管,否则应该开始停止使用StartSSL。而他也呼吁其他人使用Let's Encrypt。
担心云端主机在中国的人,不只是Pierre Kim这样的韩国资安研究者而已,去年中国政府通过争议颇大的反恐法之后,也引起欧美科技厂商的疑虑。因为反恐法除了要求ISP必须安装后门程式外,伺服器加密储存的金钥也必须上缴中国政府,甚至连美国总统欧巴马及美国国务院都表示严重关切,担心反恐法除了限制言论自由、宗教自由外,也会对美中贸易关系带来影响。
相关:
广场舞是一种非常时尚的舞蹈,现在跳广场舞的人群是比较多的,今天让小编给带大家带
Apple Pay周四登陆中国,挑战支付宝等在地行动支付服务
根据外电报导,苹果的行动支付服务Apple Pay即将于本周四(2/18)正式于中国市场推出,将挑战支付宝、财付通
习拳者都知道,太极拳有太极八法和太极八卦,但是您知道这两者之间
图片来源: PTC 以销售产品生命周期管理(PLM)与电脑辅助设计软件(CAD)闻名的参数科技(PTC),传出因为在2006至
在网上有许多公司职员和上司潜规则的,不过最近在网上还流传了韩国的这类事件,都说韩国人漂亮那可真是可以
伊朗与中国大陆媒体报导,从中国出发的一班货物列车已经在15日抵达伊朗首都德黑兰。根据媒体报导,这是史上
有一个美国厨师 Howie Southworth,试图在全球各地重新定义“美国食物”。是的,不只是汉堡薯条和汽水!他和
新华社今天(16日)报导,中国大陆将迁徙近1万名居民,以设置全球最大型的电波望远镜,并可望借此设施帮助人类
【海峡财经网2016年02月16日讯】人民币兑美元中间价报6.5130,为四天来首次调降,较昨日收盘价低186点。在岸
【海峡财经网2016年02月16日讯】港媒称,分析人士认为,到2019年中国将成为世界第三大整形美容手术市场。由