场景 1:如果您在内部网站上使用自签名证书,则仍在使用加密。(据我所知)最大的安全问题是您的浏览器不会将证书识别为受信任的证书,当您告诉浏览器信任它时,大多数人不会验证您信任的证书实际上是Web 服务器上的证书,而不是用自己的证书替换您的证书的中间人系统。那么这里的安全问题就很清楚了。
场景二:拥有来自实际的、全球可信的CA的有效X509证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,会出现什么安全问题?您仍在使用加密。私钥在 Web 服务器上仍然安全。如果中间人系统尝试替换证书,您可能会收到有关证书无效的浏览器警告,而不是有关证书已过期的警告。
附言。有一篇关于SSL 证书过期的危险的完整文章,但它所做的只是提到了仅适用于公共网站(而不是内部网站)的业务缺点(而不是技术缺点),并提到了诸如“个人信息面临风险”之类的通用声明。中间人攻击”,但他们认为为什么会出现这种情况的解释为零。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对这样一个复杂的主题这样做的——他们说了一个他们认为是正确的通用陈述,但不知道为什么。
证书具有生命周期,可以简化证书吊销。证书一旦过期,就会被视为无效,这意味着 CA 不需要保留该证书的吊销信息,也不需要根据客户端的请求提供该信息(即使用 CRL、OCSP 等进行吊销检查)。
因此,如果过期的证书被泄露(攻击者已知私钥),证书所有者无法撤销它,因为它已经无效了。这意味着中间人可以使用原始证书和窃取的私钥来冒充原始服务器,并且客户端无法通过检查吊销来检测这一点。
| 归档时间: |
|
| 查看次数: |
2769 次 |
| 最近记录: |