还记得 2015 年 2 月联想爆发部分笔电机型预载 Superfish 恶意广告软件事件,自行签发安全凭证蒙骗浏览器,绑架合法连线,并使得骇客可轻易进行中间人攻击。无独有偶,戴尔新笔电也爆发类似的安全问题,戴尔部分笔电预装的安全评证让骇客可容易模仿 Google、银行体系等任何以 HTTPS 保护的网站。
23 日戴尔被爆出部分笔电预装了非正统 SSL 凭证--eDellRoot,而该凭证出现安全漏洞,骇客可透过根凭证(root certificate),来创建任何网站的合法凭证,骇客可透过这样的途径解锁加密通信、进行中间人攻击,恶搞、伪装成 Google、Yahoo 等热门网站,或银行、购物网站等任何网站蒙骗使用者,使用者无疑暴露于危机之中。且由于基于 TLS 安全协议,浏览器对于本端安装的凭证可不需公钥(key pinning)的保护,因此即便 HTTP 的 Public Key Pinning(HPKP)机制,也无法防止这类攻击。