有兩個問題請教
1.當訪問Https時,瀏覽器中含有授信的CA機構公鑰,收到相關CA證書可以解密。
但當我瀏覽一個非信任機構的網站時,我只要點擊繼續瀏覽或添加例外就能訪問,請問這個非信的證書公鑰我是怎么獲得的呢?
2.https通信并抓包,TLS建立連接時可以看到客戶端發給服務器端的亂數,服務器端發給客戶端的亂數以及preMaster secret字串,那么就能獲得會話密鑰,SSL加密的傳輸資料都可以中間人解密了啊,還怎么保證安全呢。請問以上我哪里理解的有問題么
不吝賜教,謝謝!
uj5u.com熱心網友回復:
這兩個問題需要一定的基礎知識,非對稱加密原理及其應用,重點是簽名、密鑰交換相關。第一點:當你訪問一個https站點時,站點給你一個證書,你需要確定這份證書是否是由CA機構簽名的還是是偽造的,所以能否過驗證,和能否獲得證書、能否訪問無關,但是站點可以要求一定要驗證證書才可以訪問,而瀏覽器也可以選擇是否實作該要求。
瀏覽器中含有受信的CA公鑰->準確的說是含有CA根證書,該證書中含有公鑰。
HTTPS中網站的解密->這個可復雜了,但是肯定不是用CA根證書解的,因為鑰匙是成對的使用的,一般是用你和服務器通信的密鑰解。
CA證書用來解密->并非如是。由于鑰匙是一對存在的,所以,如果能使用公鑰驗證簽名,只能說明這個證書的真實性和有效性。
第二點:非對稱加密的另一個用處,在非安全通道構建安全的加密通道。可以參考DH密鑰交換演算法及其應用。
感覺你的非對稱加密相關可以說完全不懂,還停留在一把鑰匙開關一把鎖的認知,可以稍稍了解下古代的虎符,錢莊,現代合同等等與技術無關的內容來開拓下自己的想象。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/91172.html
標籤:網絡通信
上一篇:請教家庭IPTV看直播點播是如何的程序?以及IPTV業務賬號和網路賬號各自的的作用是什么
下一篇:無線AP選型的問題