如果网站上存在证书错误(例如域与证书中声明的域不匹配),并且我仍然继续查看站点,HTTPS连接上的数据是否仍然被encryption?
我的理解是,SSL证书只是validation网站所有者的身份,以便您(客户)可以确信您将数据发送给合法的公司。
这是证书提供的唯一angular色,还是在encryption过程中扮演着一个angular色,使得像上面这样的错误会导致encryption被跳过?
数据仍然是encryption的。 但是,端点尚未validation。 所以,数据是“安全的”,因为它是通过线路encryption的。 但是,如果证书没有正确匹配,您可能会将其发送给错误的人员。
encryption连接的价值是什么,如果你没有确定对方的encryption?
假设你想把你的信用卡信息发送给亚马逊。 假设你有一个安全的连接,但是你不知道是对亚马逊还是冒充亚马逊的攻击者。 当然,你可以发送信用卡,它会被encryption,但你不知道哪一方拥有encryption数据的关键。 所以encryption是最小的价值。
但是,它将保护你免受纯粹的被动攻击者的攻击。 没有人只是在听,可以解密数据。
证书用于对称密钥的非对称encryption交换,以用于encryption。
它试图解决共同的秘密问题。 因此,SSL证书已过期,或者来自错误的域名(由www.acme.com提供,正在www.roadrunner.com使用),或者签名的CA不是受信任的根CA的,那么你会得到一个错误。
这意味着如果有人伪造网站并且接受了网站,那么他们可以控制用于执行会话实际encryption的对称密钥。 所以虽然它可能仍然被encryption,但有人可能知道解密密钥。