全球主机论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 187|回复: 0

如果没有有效的证书,HTTPS连接是否加密的?

[复制链接]
发表于 2018-10-31 14:42:16 | 显示全部楼层 |阅读模式
如果HTTP 客户端发现HTTP服务器推送给自己的证书是无效的,这里的无效包括:
(1)    证书链验证失败
(2)    证书过了有效期
(3)    证书被CA发行机构吊销
古老的浏览器会有一个选择框,告诉你对方证书无效,是否继续连接?
用户选择是,客户端将忽略认证服务器的环节,并继续与对方协商一个加密的通道,用于加密传输HTTP。
用户选择否,客户端将会中止一切活动并退出,接下来什么都不会发生。

这个动作就好比一个上当受骗的老阿姨,在银行柜台执意要给骗子转账,在银行工作人员与派出所民警苦口婆心的劝说下,最终选择了“否”,最终老阿姨的钱得以保全。

浏览器弹出了“无效证书”,用来提醒用户前方是一个大水坑,千万不要往里跳啊!
选择“是”的用户,执意要跳谁也拦不住,不喝几口水不长教训。

当前主流的浏览器,为了防止用户执意要跳火坑,通常只显示一个消息通知框,通知用户“证书无效”连接将断开并退出,压根不给用户跳坑的机会,这是保护用户的一种安全措施。

以上就是这个问题的答案,想了解更多的读者可以继续阅读。

证书是干嘛的?
认证用的,都21世纪了,谁会不知道这个啊。

在大街上有一个假银行,你还会进去取钱吗?
傻子才会。

浏览器苦口婆心告诉你,你要访问的网络银行“证书无效”,是一个假银行,你还会输入卡号与密码吗?
傻子才会。

读者会有疑问,即使对方是一个假银行,信息传输使用HTTPS加密,用户的卡号与密码是加密传输,在互联网上传输也是安全的啊,假银行能获得用户的卡号与密码?

当然可以了,HTTPS只是保证传输安全,用户的卡号与密码虽然加密了,但是到了假银行的服务器上,可以解密并获取的,因为假银行有HTTPS解密的密钥。

为什么假银行会有HTTPS流量的解密密钥?
因为用户选择了放弃验证对方,浏览器会和假银行的服务器协商出HTTPS流量的密钥,自然就知道了。

假银行有了用户卡号与密码,也转不走用户的钱,用户还有U盾保护着呢?
虽然假银行没有U盾无法网银转账,但假银行可以用卡号制作银行卡,然后在ATM机上,输入密码,不仅可以转账,还可以取款呢。

在网络安全领域,有一个非常重要的要素,这个要素往往被很多人忽略,这个要素就是认证(Authentication)。认证是一切安全的前提,没有这个大前提的存在,安全将不复存在。
所以当用户选择放弃认证服务器,相当于放弃了这个重要的前提,接下来发生的一切,将不再是安全的。(作者:车小胖谈网络)
天下数据提供SSL证书服务,价格低至299/年;天下数据为活动期间购买的用户提供免费安装ssl证书的技术支持服务,免费定制安全解决方案,让数据更安全!有任何问题可随时咨询在线客服!

详情请戳:idcbest.com/2018/ssl.asp
天下数据电话:4006388808


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|小黑屋|全球服务器论坛

GMT+8, 2024-11-30 02:30 , Processed in 1.404003 second(s), 19 queries , File On.

Powered by Discuz! X3.5

Copyright © 2001-2024 Tencent Cloud.

快速回复 返回顶部 返回列表