HTTPS公认证书的问题

最新推荐文章于 2023-11-28 14:29:36 发布
最新推荐文章于 2023-11-28 14:29:36 发布
阅读量69 收藏
点赞数
文章标签: python 区块链
原文链接:https://my.oschina.net/treebug/blog/2979203
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

背景

有不少分析HTTPS原理的文章,在提到中间人攻击问题时,都以中间人证书是自己签发生成的,不被系统信任,当验证时是通过不了的,HTTPS连接断开。这让人下意识认为:只要不信任非公认证书,中间人攻击就不存在了。
然而,实际上一个邪恶组织是可以通过申请合法证书,并且利用这个合法证书达到中间人攻击目的。那么它的原理是什么呢?请往下看。

HTTPS基础

HTTPS组成

HTTPS = HTTP + SSL/TLS
实际上,现在绝大部分都是采用TLS,所以:HTTPS = HTTP + TLS

HTTPS背后的基础技术

对称加密与非对称加密技术,比如AES和RSA。
消息摘要算法,MD5。

HTTPS原理说明

一句话说明:HTTPS就是通过RSA技术确认对方,并商议后续通信加密的过程。

在互联网上,如何确认对方?技术的基础就是RSA。
通过RSA生成一对秘钥(公钥与私钥),通过私钥与MD5对一段信息加密,那么,就可以通过公钥解密并确认这段信息是否由此私钥加密,是否中间被修改,也就是做到了信任的数字化以及信任链的数字化。
通过商业化,即成立一个组织,这个组织是全球公认的。那么由这个组织私钥加密的所有文件,潜在来讲都是可以被信任的。

那么,当我们向一个公认组织申请证书认证时,产生的证书,就表明我们自身已经是可以被大众信任的。

当确认对方之后,客户端通过发送随机数等信息给服务端,然后通过这段数据生成对称加密秘钥,并测试一次数据加密传输过程。后续的所有正文都是通过生成的秘钥加密解密传输的。

公认组织证书签发存在问题

任何一个组织机构,都可以申请证书。那么,如果有一个邪恶的组织,同样申请的一个证书,此时该怎么办呢?这也是许多文章没有去深入追究的问题。

如果某个客户端,仅仅做“basic X.509 certificate trust evaluation”,那么就刚好可以被这个邪恶组织利用。因为它可以变成一个中间人,并且客户端与服务端是毫无知晓的。
为什么呢?简单来讲,就是基础的X.509证书验证规则,就是验证证书是否是合法的以及是否过期。刚刚好,这个邪恶组织证书完全符合要求。
此时,这个组织就可以利用自己的私钥,解密客户端内容,并且用解密后的内容模拟客户端再次去服务端请求信息,同时模拟服务端回复信息给客户端,而它们对此毫无知觉。

那么,如何破解呢?当然是添加基础X.509验证之外的规则,比如DNS-Name验证,或者更严谨的是客户端添加服务器的公钥。不考虑其他因素,那么,中间攻击者将毫无立足之地。

以iOS-AFNetworking3.0为例

对证书验证处理是在AFSecurityPolicy类。我们可以看到,默认处理方式是包括DomainName验证的,也就是默认情况下,任何一个邪恶组织都无法通过这道门槛。

转载于:https://my.oschina.net/treebug/blog/2979203

weixin_33827590
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S实战(十二)| 为 Ingress 以及后端 Nginx 增加证书
程立笔记
09-19 987
前言 前面 nginx 都是 http 协议在工作,那么加证书应该如何操作。 更新历史 20200701 - 初稿 - 左程立 原文地址 - https://blog.zuolinux.com/2020/07/01/nginx-https.html 创建证书 可以网上申请一年免费证书,也可以自建证书。下面自建证书。 下载自建证书脚本 wget -O Makefile https://raw.githubusercontent.com/kubernetes/examples/master/staging/
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1656
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
HTTPS的安全问题及应对方案
最新发布
sdgfafg_25的博客
11-28 985
HTTPS是一种在网络通信中广泛使用的安全协议,通过使用SSL/TLS加密来保护数据的传输。然而,即使在使用了HTTPS的情况下,仍然存在一些潜在的安全问题。本文将深入探讨HTTPS的安全问题,并提供一些有效的应对策略,以确保数据在传输过程中的安全性。
Https证书校验不当引起的安全问题
Hubert的博客
02-16 1万+
1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范: 1) on
解决因HTTPS 证书出错访问不了网页的问题(GitHub为例)
热门推荐
wudongjiang333的博客
03-16 2万+
解决因HTTPS 证书出错访问不了网页的问题(GitHub为例)
iOS之Https自签名证书认证及数据请求的封装原理
08-31
自签名证书是由服务器自身生成并签署的,而不是由公认的CA。这使得iOS系统无法验证证书的有效性,因此默认情况下会拒绝连接。 要使iOS应用能够信任自签名证书,我们需要在代码中进行一些额外的配置。在AFNetworking...
markecert证书
05-28
在实际应用中,使用自签名证书可能在某些情况下会导致浏览器或系统的警告,因为这些证书不是由公认证书颁发机构(CA)签发的。在生产环境中,应考虑从受信任的CA购买或申请证书,以确保客户端能够无警告地接受服务。...
https免验证直接用
12-01
自签名证书是由你自己创建并签名的,而不是由公认的CA签署,因此,浏览器在默认情况下会警告用户该证书不受信任。但是,你可以选择在本地信任这个证书,从而实现“免验证”直接使用HTTPS。 以下是实现"免验证直接用...
window server2003证书颁发机构-证书服务安装包win2k3
05-25
3. **合规性**:根据行业规定或法规,可能需要从公认的公开CA购买证书。 安装完成后,"证书颁发机构"服务将在服务管理器中出现,并可以进行配置。你可以通过"管理工具"中的"证书颁发机构"来管理CA,包括创建、发布...
Centos 5下配置https服务器的方法
09-15
在CentOS 5操作系统中配置HTTPS服务器是确保...请注意,如果使用的是自签名证书,浏览器可能会警告用户证书不受信任,这是因为该证书不是由公认的CA签发的。在生产环境中,你应该购买并安装由受信任的CA签发的SSL证书
什么是HTTPS?为什么要购买证书
F & Q的专栏
02-15 1万+
HTTP协议中,信息以明文传输。  例如,小刚登陆科创论坛,用户名和密码都是明文传输的。因为从小刚家到科创论坛要经过很多网络设施,黑客可以在这个过程中拦截到小刚的密码。  所以,我们要加密小刚与科创论坛之间的通信。  我们先来介绍对称加密。对称加密其实就是RAR压缩包的加密方式:利用同一个密钥实现加密和解密。  假设小刚知道科创的密钥是loveKC,他利用这个密钥加密所有的数据,再发给
解决https网站根证书不安全的问题
标子 的专栏
12-12 1万+
调试时,我们访问某些https的网址时,页面会提示该网址的根证书不受信任,有安全问题。解决方法有两个。 1 访问网站时页面或提示证书安全问题,然后选择增加例外。 2 如果是使用的fiddler的话,在fiddler的菜单选择工具->https tab ->点击action->导出fiddler根证书到桌面 打开火狐选择右上角->点击选项->高级->证书->查看证书->证书机构->导入,然
https证书配置完整证书链常见问题
千里之外的博客
12-17 8649
1.完整证书链是什么 举例说明,如图,从上到下依次是根证书,中间证书,网站证书;中间证书可能有多级证书,比如有的证书链长度是4,那么中间证书就是两级。 2.配置完整证书链是否配置根证书 答案是不配置,根证书是终端设备预装信任的。 以windows系统为例,chrome使用的是操作系统预装的证书库;windows运行certmgr.msc即可打开证书管理器。 火狐浏览器内置了证书管理器...
https安全证书问题
xinpz的博客
07-25 1986
参考https://blog.csdn.net/in_the_road/article/details/88364069 问题:调用第三方时https协议,报ssl安全证书问题 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: ...
客户端访问https站点(自定义证书
ASIN的专栏
12-31 5654
客户端访问服务器端的几种方式(Https)按照 Glassfish4.1和Tomcat配置Https访问 设置好服务器端的https访问后,客户端可以通过三种方式访问服务器端。 浏览器方式。用户在浏览器中输入相应url后浏览器会弹出警告(由于我么使用的是自定义证书),此时确认安全例外就可继续访问。 终端方式。用户使用linux命令curl https://test.com连接服务器端,此时也由于证书
Android端关于HTTPS的认证---->可用
Nothing
12-17 3884
1.关于HTTPS HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。ht
https单双向认证,SSL加密方式
菜小菜吃菜的博客
11-07 532
模拟搭建https单、双向认证
前端在https请求的安全配置问题
阿尔叭叭
11-06 5326
使用HTTPS已经是当今保护信息在传输过程中不被泄露的标准配置了。然而事情并没有这么简单,即使是服务器端开启了HTTPS,也还是存在安全隐患,黑客可以利用SSL Stripping这种攻击手段,强制让HTTPS降级回HTTP,从而继续进行中间人攻击。 问题的本质在于浏览器发出去第一次请求就被攻击者拦截了下来并做了修改,根本不给浏览器和服务器进行HTTPS通信的机会。大致过程如下,用户在浏览器
网站http 改成 https 问题一SSL证书
幻听
05-31 5819
网站http 变成 https 问题一 SSL证书(仅供参考 以调试结果为准)一 SSL证书。(一)阿里云证书申请:1.进入CA证书服务。购买证书2.选择你需要的证书类型(有免费的)。3.购买后补全资料。4.下载证书,选择需要的证书类型(如tomcat,解压后为如下四个文件)。(二)证书安装。1.文件说明:(1).证书文件214318594820296.pem,包含两段内容,请不要删除任何一段内...
Redmine问题管理与安全测试解析
OWASP(开放式网络应用安全项目)Top 10是业界公认的安全风险列表,其中包括A1-注入攻击。这类攻击发生在不可信数据被用于执行命令或查询时,如SQL注入、OS注入和LDAP注入。例如,一个不安全的登录页面可能允许黑客...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值