如果没有有效的证书,HTTPS连接是否加密的?
2018-10-31 10:14 浏览: 次如果HTTP 客户端发现HTTP服务器推送给自己的证书是无效的,这里的无效包括:
(1) 证书链验证失败
(2) 证书过了有效期
(3) 证书被CA发行机构吊销
古老的浏览器会有一个选择框,告诉你对方证书无效,是否继续连接?
用户选择是,客户端将忽略认证服务器的环节,并继续与对方协商一个加密的通道,用于加密传输HTTP。
用户选择否,客户端将会中止一切活动并退出,接下来什么都不会发生。
这个动作就好比一个上当受骗的老阿姨,在银行柜台执意要给骗子转账,在银行工作人员与派出所民警苦口婆心的劝说下,最终选择了“否”,最终老阿姨的钱得以保全。
浏览器弹出了“无效证书”,用来提醒用户前方是一个大水坑,千万不要往里跳啊!
选择“是”的用户,执意要跳谁也拦不住,不喝几口水不长教训。
当前主流的浏览器,为了防止用户执意要跳火坑,通常只显示一个消息通知框,通知用户“证书无效”连接将断开并退出,压根不给用户跳坑的机会,这是保护用户的一种安全措施。
以上就是这个问题的答案,想了解更多的读者可以继续阅读。
证书是干嘛的?
认证用的,都21世纪了,谁会不知道这个啊。
在大街上有一个假银行,你还会进去取钱吗?
傻子才会。
浏览器苦口婆心告诉你,你要访问的网络银行“证书无效”,是一个假银行,你还会输入卡号与密码吗?
傻子才会。
读者会有疑问,即使对方是一个假银行,信息传输使用HTTPS加密,用户的卡号与密码是加密传输,在互联网上传输也是安全的啊,假银行能获得用户的卡号与密码?
当然可以了,HTTPS只是保证传输安全,用户的卡号与密码虽然加密了,但是到了假银行的服务器上,可以解密并获取的,因为假银行有HTTPS解密的密钥。
为什么假银行会有HTTPS流量的解密密钥?
因为用户选择了放弃验证对方,浏览器会和假银行的服务器协商出HTTPS流量的密钥,自然就知道了。
假银行有了用户卡号与密码,也转不走用户的钱,用户还有U盾保护着呢?
虽然假银行没有U盾无法网银转账,但假银行可以用卡号制作银行卡,然后在ATM机上,输入密码,不仅可以转账,还可以取款呢。
在网络安全领域,有一个非常重要的要素,这个要素往往被很多人忽略,这个要素就是认证(Authentication)。认证是一切安全的前提,没有这个大前提的存在,安全将不复存在。
所以当用户选择放弃认证服务器,相当于放弃了这个重要的前提,接下来发生的一切,将不再是安全的。(作者:车小胖谈网络)
天下数据提供SSL证书服务,价格低至299/年;天下数据为活动期间购买的用户提供免费安装ssl证书的技术支持服务,免费定制安全解决方案,让数据更安全!有任何问题可随时咨询在线客服!
【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015