Mac*_*cha 20 browser ssl security-warning ssl-certificate
如果我查看具有未签名或自签名 SSL 证书的站点,我的浏览器会向我发出警告。然而,同一个浏览器允许跨不安全的页面发送凭据是没有问题的。
为什么自签名证书比没有证书更糟糕?
jcr*_*dor 16
有很多人觉得这个系统坏了。
当 SSL 证书无效时,您的浏览器会向您发出如此惊人的警告,这背后的逻辑是:
SSL 基础设施的最初设计目的之一是提供 Web 服务器的身份验证。基本上,如果您访问 www.bank.com,SSL 允许响应的网络服务器证明它确实属于您的银行。这会阻止冒名顶替者操纵 DNS 或使用其他方法让恶意服务器做出响应。
SSL 中的“信任”是通过让受信任的第三方(VeriSign 和 Thawte Consulting 等公司)签署证书来提供的,这表明他们已经验证了证书的所有者(理论上通过访问人或其他建立直接信任的方法,尽管有证据表明他们实际上对此相当松懈 - 获得签名的 SSL 证书通常只需要一个 800 号码和一点表演技巧)。
因此,如果您连接到提供 SSL 证书的 Web 服务器,但它没有由受信任的第三方签名,理论上这可能意味着您正在与伪装成属于不同组织的服务器的冒名顶替者进行通信.
在实践中,自签名证书通常只是意味着运行服务器的组织选择不为签名证书付费(它们可能非常昂贵,具体取决于您想要的功能),或者缺乏配置证书的技术专长(一些小型企业解决方案为自签名证书提供一键式机制,但获得可信证书需要更多技术步骤)。
我个人认为该系统已损坏,并且与不提供加密的服务器进行通信比与提供带有自签名证书的 SSL 的服务器进行通信要危险得多。浏览器不这样做的原因有以下三个:
小智 6
从页面到页面发送凭据基本上是在执行 HTTP POST。与通过 POST 发送例如搜索词相比,发送凭据并没有什么特别之处。如果向不安全页面发送任何帖子会触发警告,用户将受到毫无意义的警告的轰炸。
使用安全通道表明程序员有意保护传输。在这种情况下,使用自签名证书警告是非常正确的做法。
| 归档时间: |
|
| 查看次数: |
6034 次 |
| 最近记录: |