Страницы

Поиск по вопросам

суббота, 14 декабря 2019 г.

как сертификат позволяет обезопасить соединение

#безопасность #https 


объясните доходчиво как сертификат обезопасит мое соединение с сайтом, например,
где я ввожу пароль. Что значит, что он доверенное лицо, как я это проверяю


Ответы

Ответ 1


Если вы соединяетесь по защищённому соединению (HTTPS, SSL), это означает, что весь
трафик между вашей машиной и машиной-назначением (сервером) шифруется и доступен только
вам и серверу. Никто более не может расшифровать данные при передаче. Этим обеспечивается
безопасность при передаче критичных данных, например, паролей.

В защищённом соединении присутствует понятие сертификата. Сертификат используется
для проверки аутентичности сторон. В данном случае, для проверки аутентичности сервера.
Он гарантирует, что сервер является тем, за кого он себя выдаёт. Т.е., например, вы
соединяетесь с сайтом example.com и сертификат гарантирует, что это именно example.com,
а не фейковый сайт, желающий стырить ваш драгоценный пароль.

Проверка сертификата осуществляется достаточно просто. Сертификат выдаётся для конкретных
доменных имён. Если имя, указанное в сертификате, не соответствует доменному имени
сайта, вы увидите предупреждение браузера.

Вроде бы, никто не помешает злобному кулхацкеру Васе выпустить свой собственный (т.н.
самоподписанный) сертификат для example.com, подменить IP-адрес и стырить ваш драгоценный
пароль. Чтобы этого не произошло, сертификат подписывается в удостоверяющем центре
(центре сертификации, ЦС). ЦС проверяет каким-либо образом, что сертификат выдаётся
именно тому человеку/сайту, за который он себя выдаёт. Все сертификаты, подписанные
доверенным ЦС, также автоматически считаются доверенными.

В современных операционных системах есть централизованное хранилище сертификатов
корневых центров сертификации. Эти сертификаты поставляются вместе с ОС и периодически
обновляются при обновлении ОС. Все сертификаты, подписанные корневыми ЦС будут доверенными.

Особняком стоит Firefox, который имеет собственную базу корневых ЦС и игнорирует
системную.

Никто не мешает пользователю добавить произвольный сертификат в хранилище доверенных
сертификатов и наслаждаться видом зелёненького значка в браузере. Можно пойти ещё дальше
и создать свой ЦС, т.е. выпустить собственный корневой сертификат и, добавив его в
доверенные, считать также доверенными все подписанные им сертификаты.

Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)