• leslie
    2022-01-09
    其实有时所说的不可信不一定是证书本身不可信而是中间环节的proxy的问题,随着软件架构越来越复杂其实漏洞也是从前到后,我们要了解整条链条用了什么才可能可以去预判问题可能出现在哪儿。

    作者回复: 说的很对哦,有时候我们在机场啦、咖啡厅啦连接网络其实都是有安全隐患的,而且现在很多软件更新并非所有环节都验证证书,安全缺失环节客观存在且有风险,同学理解很深刻哦(๑•̀ㅂ•́)و✧

    
    1
  • 孜孜
    2022-01-04
    在用户机器不被黑的情况下外加http client不忽略证书校验,https的ca体系完全可以防止中间人攻击吧?这也是不要使用非官方浏览器和操作系统的原因! 另外,Let’s Encrypt简直是https超级推动者,免费颁发三个月证书,使用其他工具自动续期。爽歪歪。。

    作者回复: “https的ca体系完全可以防止中间人攻击吧?” “完全可以的,请放心” ヾ(◍°∇°◍)ノ゙ “悄悄地说,现在很多终端应用(非Web)没有证书保护哟,请自行遐想”

    
    1
  • peter
    2022-01-04
    请教老师三个问题:1 我准备做一个网站,必须要证书吗?2 数字签名用什么加密算法?3 访问一个新网站,什么时候检查证书? 每次访问都需要检查吗?(是在网站访问流程的第一步之前检查证书吗?就是在DNS请求之前。第一次检查后就不再检查了吗?)

    作者回复: 1. 当然啦,没有证书的话,用户访问时会被嗅探等各种方式窃取账户信息哒; 2. 数字签名用非对称密钥算法,可选的有很多,RSA什么的,实际应用可以用OpenSSL库什么的; 3. 刚开始访问就会检查,DNS请求之后检查,因为DNS是寻址,证书是绑在服务器上的,要先寻址到服务器才行哦,每次访问都要检查的哦;

    
    
  • ifelse
    2023-03-08 来自浙江
    学习打卡
    
    1
  • Wales
    2022-10-14 来自上海
    请教老师一个问题: CA给互联网信息服务商颁发证书时,证书里的公钥是CA生成的,这意味着私钥也是CA生成的,也就是老师在文中指出的“CA同时拥有证书申请者的公钥和私钥”。 那么这里CA给证书申请者生成的私钥,必然也应该提供给证书申请者,因为申请者需要用私钥来进行独有的加密过程,避免其它攻击者仿冒自己。 那么这里的私钥是通过线下分发的方式(比如给个USB设备)给到申请者嘛?
    共 1 条评论
    1