关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

如果没有有效的证书,HTTPS连接是否加密的?

发布时间:2019-08-01 16:15:10

如果HTTP 客户端发现HTTP服务器推送给自己的证书是无效的,这里的无效包括:

(1)    证书链验证失败

(2)    证书过了有效期

(3)    证书被CA发行机构吊销

 20181031101005.jpg

古老的浏览器会有一个选择框,告诉你对方证书无效,是否继续连接?

用户选择是,客户端将忽略认证服务器的环节,并继续与对方协商一个加密的通道,用于加密传输HTTP。

用户选择否,客户端将会中止一切活动并退出,接下来什么都不会发生。

 

这个动作就好比一个上当受骗的老阿姨,在银行柜台执意要给骗子转账,在银行工作人员与派出所民警苦口婆心的劝说下,最终选择了“否”,最终老阿姨的钱得以保全。

 

浏览器弹出了“无效证书”,用来提醒用户前方是一个大水坑,千万不要往里跳啊!

选择“是”的用户,执意要跳谁也拦不住,不喝几口水不长教训。

 

当前主流的浏览器,为了防止用户执意要跳火坑,通常只显示一个消息通知框,通知用户“证书无效”连接将断开并退出,压根不给用户跳坑的机会,这是保护用户的一种安全措施。

 

以上就是这个问题的答案,想了解更多的读者可以继续阅读。

 

证书是干嘛的?

认证用的,都21世纪了,谁会不知道这个啊。

 

在大街上有一个假银行,你还会进去取钱吗?

傻子才会。

 

浏览器苦口婆心告诉你,你要访问的网络银行“证书无效”,是一个假银行,你还会输入卡号与密码吗?

傻子才会。

 

读者会有疑问,即使对方是一个假银行,信息传输使用HTTPS加密,用户的卡号与密码是加密传输,在互联网上传输也是安全的啊,假银行能获得用户的卡号与密码?

 

当然可以了,HTTPS只是保证传输安全,用户的卡号与密码虽然加密了,但是到了假银行的服务器上,可以解密并获取的,因为假银行有HTTPS解密的密钥。

 

为什么假银行会有HTTPS流量的解密密钥?

因为用户选择了放弃验证对方,浏览器会和假银行的服务器协商出HTTPS流量的密钥,自然就知道了。

 

假银行有了用户卡号与密码,也转不走用户的钱,用户还有U盾保护着呢?

虽然假银行没有U盾无法网银转账,但假银行可以用卡号制作银行卡,然后在ATM机上,输入密码,不仅可以转账,还可以取款呢。

 

在网络安全领域,有一个非常重要的要素,这个要素往往被很多人忽略,这个要素就是认证(Authentication)。认证是一切安全的前提,没有这个大前提的存在,安全将不复存在。

所以当用户选择放弃认证服务器,相当于放弃了这个重要的前提,接下来发生的一切,将不再是安全的。(作者:车小胖谈网络)



/template/Home/Zkeys2/PC/Static