商用密码
文章平均质量分 78
pandaPHA
主攻密码应用与安全性评估,顺便学习数据安全相关标准
展开
-
使用数字证书实现身份鉴别
例如,用户A利用自己合规的数字证书登录某系统,但账号口令使用管理员B的,若该系统的身份鉴别未对证书和账号口令进行绑定校验,则会出现用户A通过身份鉴别且拿到了管理员的权限。例如SSL证书或域名证书中的使用者可选名称/证书主题背景的备用名称中限定了域名,若访问域名与限制域名不一致,也会有证书使用不正确的问题。鉴别流程校验指的是在实际开发部署过程中可能出现的一些校验,例如证书使用者与真实使用者是否一致、证书与账号口令是否绑定校验、鉴别机制是否正确使用了数字证书等。,其中签名有效性的检验包含了证书链的验证。原创 2024-09-08 21:12:19 · 446 阅读 · 0 评论 -
网络和通信层面的身份鉴别解析与测试
若网站A设置了双向鉴别,并给予了红PC权限,此时小红从红PC依然能访问网站A,但小黑从黑PC是无法访问网站A了,若小黑趁小红不在,利用红PC访问网站A,这时小黑就能访问网站A了,这就是双向鉴别只甄别客户端设备,无法限制用户。单向鉴别在实际环境中十分常见,所有的HTTPS网站都支持单向鉴别,在登录任一HTTPS网站后,都可以在浏览器中找到服务端的数字证书(如下图),该数字证书就是服务端的“身份证”,进行服务端的身份鉴别。若未导入有效证书,访问该网站时,会报未提供有效证书无法访问,如下图。原创 2024-09-25 12:56:02 · 853 阅读 · 0 评论 -
国内CA服务介绍
简述国内CA服务机构类别原创 2024-08-26 22:13:25 · 782 阅读 · 0 评论 -
数字证书的签名值和指纹
简单介绍了数字证书的签名和指纹。原创 2024-08-14 17:03:45 · 316 阅读 · 0 评论 -
数字证书的有效性检验
同样以沃通搭建的演示网站中的证书为例,打开该证书后,往下翻找,可以找到“CRL分发点”,根据其提供的网址访问后,可以得到CRL列表,打开该列表,选择吊销列表即可查看被吊销的数字证书序列号和吊销日期,依次核对被吊销的数字证书序列号后即可判定该证书是否有效。下载后打开该证书,点击其使用者,可以对比网站的证书的颁发者与我们下载的这个证书的使用者相同,从网站的已有证书链上的序列号也能佐证我们找寻的上级证书无误。通过证书撤销状态查询,如果发现证书已经被撤销,那么证书就是无效的,用户不能使用该证书。原创 2024-08-22 14:19:56 · 919 阅读 · 0 评论