Superfish事件：自签名SSL证书惹的祸 分析

    个人看法，联想 使用了Superfish 自签名的根证书，，更夸张的是，根证书私钥是个简单字符串，而且存在客户端也就是说，root.crt + root.key 在用户电脑上，实现https劫持，工作原理应该类似与 Fiddler  在本机把自己的跟证书嵌入系统可信区域。

    可是根证书私钥使用了较简单内容，导致一旦被破解发现，黑客会使用联想发布的根证书+私钥，签发自己的黑客证书。

    下一步就是通过arp欺骗或者dns欺骗，使得用户访问https网站时，连接到黑客自己制作的钓鱼网站，而该钓鱼网站使用的证书，就是联想笔记本内的根证书+私钥，签发的证书。这样就能拦截用户的网络访问+账户密码信息。实现对用户的钓鱼。

    这款SuperFish插件相信是联想用来实现自己的商业目的。but使用了使用该SDK的每个产品在每台用户终端上内置根证书相同，而且证书密码都是“komodia”，这会导致SSL的中间人攻击。