cdn缓存配置访问HTTPS网站服务器的证书有哪些作用?

  [图片] 想深入了解一下HTTPS的原理,于是抓包研究了一下,我的理解是这样的:在开始的hello过程中协商出一个双方都支持的加密算法(对称加密算法)…

  服务器发给客户端的证书在秘钥交换过程中似乎并没有起到什么作用(客户端只用来验证正在访问的网站的身份是否真实?)

  上面的加密算法协商和秘钥交换过程都是可以被中间人攻击的,https是不是也有可能受到中间人攻击?

  第一个问题,你已经回答了,客户端用证书来验证正在访问的网站是否真实。这个其实很重要,你记得支付宝网站是,要往里面存钱,这证书可以保证当前访问的真的是它。因为证书和域名绑定,并且由根证书机构签名确认。那么这个根证书机构是哪儿来的?chrome、firefox乃至微软系统里面都默认带的。cdn缓存配置大家都被迫选择信任这些根证书机构列表以及他们签发的证书,支付宝的证书就是由这些根证书机构签发的。所以,没有无缘无故的信任(想说区块链的滚粗),这就是证书的信任链——所以黑客想去攻击这些根证书机构,cdn缓存配置如果得手了,可以签发证书用来给钓鱼网站、恶意病毒签名,也可以去偷第三方公司获得的证书。

  第二个问题,你觉得密钥交换过程可以被中间人攻击,那就是拍脑袋的想法了,你攻击一个给我看看?拿最简单的RSA密钥交换来说,过程如下:客户端拿到了服务端证书并且基于CA验证了真实性,取出服务端公钥,然后生成一个足够长的串作为会话密钥用服务端的公钥加密,传给服务端。服务端解密得到会话秘钥,然后双方用这个通讯。

  假设你嗅探了服务端发证书的过程,只能拿到公钥,基于非对称加密的基本原理,新加坡服务器租用国内日本服务器国外VPS算不出来私钥,拿到了公钥卵用都没有。假设你劫持了服务端发证书用自己的公钥替换,证书有CA签名的,客户端一验算签名就知道证书被改了。假设你嗅探了客户端发过去的加密后的会话秘钥,一样的基于非对称算法基本原理你解不出来。假设你劫持了客户端发过去的数据,因为是加密的解不开,你想篡改最多只能瞎JB篡改密文,那么服务端的私钥去解密发现解不开。

  最简单的RSA密钥交换你都毫无办法,那么为啥不用这个?因为这种模式可能会被“回溯攻击”所影响。简单的说,哪一天有人通过物理攻击(比如说把刀架在你脖子上)拿到了你的证书,而他又保存了以前所有的通讯过程(加密后的),现在就可以全部解密了。同时我们可以看到,安全研究人员对安全做到了多么偏执的地步。于是,大神们搞出了ECDHE之类的密钥交换算法,不受“回溯攻击”影响。可惜ECDHE又会受中间人攻击影响,所以它需要RSA做签名来配合。

  BTW,HTTPS网站是不是完全不会被攻击呢?当然不是。TLS协议虽然比较好,但是软件是人写的,有时候会出现一些漏洞,比如着名的心脏滴血。也有的网站配置错误,不是全站HTTPS,也没配置好HSTS,可能会遭受ssltrip2之类的降级攻击。还有的客户端本身就感染了木马,那么什么加密都救不了。韩国代理服务器作用

  美国云主机永久免费

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

天眼测评网_VPS测评推荐网站 国外VPS推荐 cdn缓存配置访问HTTPS网站服务器的证书有哪些作用? https://www.tyidc.com.cn/21612.html

常见问题

相关文章

评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务