【问题标题】:Purpose of a SSL/TLS certificateSSL/TLS 证书的用途
【发布时间】:2020-07-02 14:30:37
【问题描述】:

我最近一直在阅读有关 ssl/tls 和证书的信息,以便为我们的一个网站启用 https。

就我目前的理解而言,ssl/tls 证书可以验证我们作为客户端是否连接到正确的站点。为此,证书内部的签名用于验证证书是否合法。最后使用ECDHE(Elliptic curve Diffie-Hellman)等算法建立安全连接。

我的问题是,如果我想连接到一个网站,比如“www.mysite.com”,然后我在浏览器地址栏中输入“www.mysite.com”,我可以保证我会连接到正确的网站。那么,当我知道我正在键入正确的地址时,在 Web 服务器上安装 SSL/TLS 证书的目的是什么。

我对 https 工作原理的理解是否遗漏了什么?

此外,ECDHE 算法不依赖任何信息,如证书中的公钥来建立安全连接。

【问题讨论】:

    标签: http ssl https ssl-certificate tls1.2


    【解决方案1】:

    ...如果我想连接到一个网站,比如“www.mysite.com”,然后我在浏览器地址栏中输入“www.mysite.com”,我可以保证我会连接到正确的网站。

    你不是。借助各种技术,例如 DNS 欺骗、ARP 欺骗、劫持 SoHo 路由器……攻击者可能会重新路由您的流量,使其最终到达由攻击者控制的服务器,而不是您想要的实际服务器。验证您从服务器获得的证书是预期的证书可以防止此类攻击。

    【讨论】:

    • 我明白了。现在让我们考虑一个场景,攻击者确实使用了 DNS 欺骗并将我转移到不同的服务器。如果该服务器启用了 https 并提供了自己的证书怎么办。我的浏览器会足够聪明地警告我你受到了攻击吗?
    • @DurgaPrasadReddyVennapusa:“我的浏览器会足够聪明地警告我你受到了攻击吗?” - 浏览器会警告你证书有问题。确切的警告取决于浏览器和攻击者证书的属性。
    • “验证您从服务器获得的证书是预期的,以防止此类攻击。”不,并非总是如此。/ DNS 欺骗也可以附带使用 dns-01 方法颁发的有效证书。因此,您不会看到问题,除非您在某些情况下查看证书,如果网站使用密钥固定,如果所有者使用 DNSSEC 并且您验证响应,并使用 CAA 来阻止颁发进一步的证书。跨度>
    • “我的浏览器会足够聪明地警告我你被攻击了吗?”如果攻击者还生成了一个有效的证书(如果它以某种方式控制 DNS,它可以),浏览器将没有什么可抱怨的。如果您有一些监控证书更改的扩展程序,它可能会看到并提醒您证书已更改,但 1) 仅当我们在攻击前访问同一站点时;2) 证书更改也会在正常执行过程中发生,例如它们的到期。因此,简而言之,不,仅 TLS 及其证书不足以 100% 保护免受所有攻击。
    • 谢谢 Steffen 和 Patrick。 cmets 确实让我对这个主题有了更多的了解。此外,如果声明“仅 TLS 及其证书不足以 100% 保护免受所有攻击” 是真的,我看不到使用证书的真实用例。如果协议支持,客户端和服务器之间的 http 连接可能就足够了。
    猜你喜欢
    • 1970-01-01
    • 2017-12-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-05-07
    • 2020-09-28
    • 2019-03-13
    • 1970-01-01
    相关资源
    最近更新 更多