Данные SSL все еще зашифрованы, если есть ошибка сертификата?


11

Если на веб-сайте имеется ошибка сертификата (например, домен не соответствует тому, что указано в сертификате), и я все равно продолжаю просматривать сайт, все еще зашифрованы ли данные по соединению HTTPS?

Насколько я понимаю, сертификат SSL просто подтверждает личность владельца сайта, так что вы (клиент) можете быть уверены, что отправляете данные в легальную компанию.

Является ли это единственной ролью, которую обеспечивает сертификат, или она также играет роль в процессе шифрования, так что ошибка, подобная приведенной выше, может привести к пропуску шифрования?

Ответы:


18

Данные все еще зашифрованы. Однако конечная точка не была проверена. Таким образом, данные «безопасны» в том смысле, что они зашифрованы по проводам. Однако вы можете отправить его не тому человеку, если сертификат не соответствует должным образом ...


3

Какова ценность зашифрованного соединения, если вы не определили сторону на другом конце?

Скажем, вы хотите отправить информацию о своей кредитной карте в Amazon. Скажем, у вас есть безопасное соединение, но вы не знаете, принадлежит ли он Amazon или злоумышленнику, который выдает себя за Amazon. Конечно, вы можете отправить кредитную карту, и она будет зашифрована, но вы не знаете, какая сторона хранит ключи от зашифрованных данных. Таким образом, шифрование имеет минимальную ценность.

Это, однако, защитит вас от чисто пассивного атакующего. Никто, кто просто слушает, не сможет расшифровать данные.


0

Сертификат используется для асимметрично зашифрованного обмена симметричным ключом, который будет использоваться для шифрования.

Он пытается решить проблему общего секрета. Таким образом, сертификат SSL, срок действия которого истек или принадлежит не тому домену (он отчеканен для www.acme.com и используется на www.roadrunner.com), или подписавший его центр сертификации не является доверенным корнем. CA, то вы получите ошибку.

Это означает, что если кто-то подделывает сайт, а вы принимаете его, то он может контролировать симметричный ключ, используемый для фактического шифрования сеанса. Так что, хотя он все еще может быть зашифрован, кто-то может знать ключ дешифрования.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.