客戶端如何確保服務器發送的SSL證書是證書的真正所有者?它如何防止黑客克隆,例如,谷歌ssl證書,並欺騙我他握手期間他是谷歌網站?黑客能否克隆證書並修改網絡數據包中的域名或IP信息來欺騙別人?SSL證書如何防止黑客克隆
-1
A
回答
2
例如, www.google.com由名爲證書頒發機構(CA)的第三方簽署。在谷歌的情況下,第三方目前是「GeoTrust Global CA」。太查看它是誰,你需要檢查證書(瀏覽器通常會讓你這麼做,但很容易,但每種都有自己的方式) 將證書鏈接到名爲「www.google.com」的鏈接。
您的客戶有一個他們代表您信任的CA列表。該列表或者由您的操作系統的供應商和/或您的客戶端/瀏覽器的創建者維護。
那麼,客戶如何知道它正在與正確的服務器通話呢? 證書由其信任的CA簽署,證書用於客戶端要連接的名稱,並且服務器提供了證據,證明它知道證書中公鑰的相應密鑰。
- 黑客將從www.google.com複製有效證書並將其放置在自己的機器上的黑客只有公鑰並且沒有私鑰。
- 一個黑客會試圖獲得由信譽良好的CA簽名的證書請求,但會被拒絕,因爲他們無法證明擁有google.com域名。因此名稱不匹配。
- 一個黑客誰將簽署自己的證書請求,將失敗,因爲他們的自建CA不在受信任列表中。
黑客會闖入谷歌的服務器並以某種方式複製密鑰,但可能會通過一段時間,但一旦Google的人發現它,他們就會聯繫他們的CA並吊銷證書。
現在這個過程是大多數實現中的弱點,因爲這些撤銷的證書由CA作爲證書撤銷列表(CRL)或OCSP(在線證書狀態協議)服務發佈,但客戶端通常採用快捷方式並執行不驗證證書沒有被撤銷。
相關問題
- 1. 如何防止黑客許可證
- 2. 如何解決SSL證書:從github克隆repo時的自簽名證書?
- 3. 克隆對象也克隆新數據,如何防止?
- 4. 如何防止被克隆的Bootstrap Tooltips?
- 5. SSL證書客戶端驗證 - 如何?
- 6. 如何防止黑客攻擊tomcat?
- 7. 創建Reddit/Digg /黑客新聞克隆
- 8. 客戶端的SSL證書
- 9. 如何使用Mozilla的CA證書的SSL客戶端證書
- 10. 如何在OS X上安裝SSL證書,以便從Github克隆項目?
- 11. 混帳克隆:無效的證書鏈
- 12. Jquery克隆('true')防止拖動
- 13. Singleton設計模式和防止克隆
- 14. SSL客戶端證書認證
- 15. SSL客戶端證書驗證優化
- 16. ssl客戶端如何接受過期的SSL證書
- 17. 如何鏈接SSL證書
- 18. 如何支持SSL客戶端證書身份驗證?
- 19. 如何使用boost :: asio SSL驗證客戶端證書?
- 20. 如何防止克隆對象在asp.net回發後消失
- 21. 如何防止從指定用戶克隆git存儲庫?
- 22. 如何防止克隆我的github存儲庫?
- 23. 如何防止git克隆提示用戶密碼?
- 24. 如何驗證扭曲SSL客戶端中的SSL服務器證書
- 25. WCF顯示403禁止使用SSL和客戶端證書
- 26. Elixir SOAP(Detergentex)與客戶端SSL證書
- 27. Web服務客戶端的SSL證書
- 28. Silverlight和SSL客戶端證書
- 29. 使用Zend_Http_Client的客戶端SSL證書
- 30. WCF SSL客戶端證書錯誤
因爲黑客沒有私鑰。 – EJP
是不是僅用於加密郵件的私鑰? –
不是。它在SSL中根本不用。 *用於握手消息中,通過創建數字簽名來證明該證書由發送方擁有。只有擁有私鑰的派對才能做到這一點。 – EJP