1樓:Gworg
HTTPS採取伺服器TLS加密套件是傳輸協議上可以進行加密的。但因證書不是有效或可信的CA機構認證頒發的,這種情況下任意乙個都可以生成乙個相同的證書,所以加密與不加密實際上是一樣的,有點掩耳盜鈴的意思。
2樓:翟召軒
是加密的,但這種情況下的加密也是無效的。
伺服器證書的其中乙個功能是向客戶端證明伺服器的金鑰(dh公鑰),如果證書無效,加密金鑰也無從知曉是不是有效。
所以此時,雖然傳輸過程是加密的,但這種加密下,可能存在乙個第三方能夠解密並篡改資料,使得加密失效。
3樓:exiledkingcc
https證書有兩個作用,乙個是認證,乙個是加密會話。
加密會話其實和證書關係不大,它是由客戶端與伺服器協商出來的。它可能會用到證書,比如用RSA演算法協商session key的時候,就是用證書的公鑰加密後發給伺服器。而使用DH演算法時可以不用證書。
後續的會話都是用session key加密的,不會用證書的公鑰,私鑰加密。
證書主要的作用還是認證,讓你可以確定伺服器的真偽。
伺服器沒有有效的證書,就是證書不是有效的ca簽發的,它不能證明伺服器是真的,存在安全風險。一般瀏覽器會阻止你訪問。如果你執意要訪問,後續的流量都是加密的,但是並不安全。
4樓:八里土人
客戶端可以配置「不校驗伺服器證書」,也就是認為所有伺服器證書都是有效的。
這時候https就正常建立起來,當然加密保護了。
如果客戶端要校驗證書而伺服器端不能提供有效證書,那麼https建立失敗,就不可能有業務,加密的說法不存在。
不管證書校驗是否成功,只有客戶端第乙個hello訊息是未加密的,其他的訊息都是加密的。
至於證書是否加密傳送,對於伺服器來說是無所謂的,因為伺服器證書本來就是給所有人看的,不怕洩密。
一般伺服器端不會配置為校驗客戶端證書,除非有特殊的安全要求。所以客戶端沒有證書不影響https建立。
而如果伺服器端配置了要校驗客戶端證書,那麼客戶端沒有證書提供,就是證書校驗失敗。參考前面失敗情況。
5樓:
所謂「無效」的證書,一般應該指未經權威CA認證過的證書。
HTTPS基於SSL,其建立需要金鑰協商過程,這需要伺服器提供公鑰,而公鑰包含在證書裡。
因此,只要拿到證書即可開始金鑰協商,並開始隨後的加密通訊。
但考慮到基於公鑰的金鑰協商無法防範中間人攻擊,一般瀏覽器都會額外檢查一下證書,以保證其確實來自伺服器,而未被中間人替換掉。驗證方法就是確認證書鏈,若能逐級確認到權威CA則認為是有效證書。
「無效」證書未經權威認可,無法通過上述驗證流程,瀏覽器會報警。
但通過特殊設定,令瀏覽器跳過驗證,則可直接開始其後的加密通訊。此情況下,整個通訊過程的命門為前期的金鑰協商過程。若金鑰交換未被中間人攻擊,則之後的通訊仍是安全的。
另外,也可提前將此證書內建到瀏覽器中,則上述的驗證過程將直接通過,進入下一步。此時整個通訊過程都很安全,沒有命門了(中間人替換過的證書無法通過驗證)。
以上所說的均為最一般的情況,且為了便於理解省略了很多細節。
6樓:姚黃魏紫
是的,只要伺服器有乙個證書,無論這個證書能不能被客戶端驗證,通訊雙方都會開始協商回話金鑰,之後的通訊全部用回話金鑰加密。
https以及CA機構和頒發證書的問題?
Yang Ray 被各種型別的證書搞了很久,直到今天都沒有搞明白的嘗試來說一下吧。圖上就一共三步。第一步 Trusted CA向vendor廠商提供CA根證書。第二步 Trusted CA給site提供站證書。第三步 vendor廠商的瀏覽器在用https訪問的時候會檢查站證書的合法性。例如chro...
PMP證書的有效期多久?
小清新 一,pmp有效期是多久 PMP project management professional 是PMI建立的,該公司是世界上最大的專案管理專業組織,它對專案經理的知識技能進行嚴格評估,以維持證書的含金量 其有效期為3年,三年之後,如果要保持PMP證件有效期,需要續證 二,PMP續證條件 獲...
本人已經工作一年,連大學四級證書都沒有的我想考托業或者BEC,各位大神們能推薦考哪一種麼?
陳大欣 不管是學好英語還是考證,基本總結下來就是幾點需求 1 應屆畢業生,尤其是過簡歷關 2 增強職場軟實力,充當晉公升 跳槽的踏板 3 泡個外國妹子 漢子 4 喜歡當地文化 其他的還沒想到 那麼,託業和BEC的最主要作用是什麼?託業和BEC主要對應屆生更有幫助,一方面節省應屆生英語筆試時間,一方面...