หากมีข้อผิดพลาดใบรับรองบนเว็บไซต์ (เช่นโดเมนไม่ตรงกับที่ระบุไว้ในใบรับรอง) และฉันยังคงดูเว็บไซต์ต่อไปข้อมูลในการเชื่อมต่อ HTTPS ยังคงถูกเข้ารหัสอยู่หรือไม่
ความเข้าใจของฉันคือว่าใบรับรอง SSL เพียงตรวจสอบตัวตนของเจ้าของเว็บไซต์เพื่อให้คุณ (ลูกค้า) มั่นใจได้ว่าคุณกำลังส่งข้อมูลไปยัง บริษัท ที่ถูกกฎหมาย
นั่นเป็นเพียงบทบาทเดียวที่ใบรับรองให้หรือไม่ก็มีบทบาทในกระบวนการเข้ารหัสเช่นว่าข้อผิดพลาดเช่นเดียวกับข้างต้นจะทำให้การเข้ารหัสถูกข้ามไปหรือไม่
คำตอบ:
ข้อมูลยังคงถูกเข้ารหัส อย่างไรก็ตามปลายทางยังไม่ได้รับการยืนยัน ดังนั้นข้อมูลจึง "ปลอดภัย" เนื่องจากมีการเข้ารหัสผ่านสาย อย่างไรก็ตามคุณอาจส่งไปยังคนที่ไม่ถูกต้องหากใบรับรองไม่ตรงกัน ...
ค่าของการเชื่อมต่อที่เข้ารหัสคืออะไรหากคุณไม่ได้ระบุฝ่ายอื่น ๆ
สมมติว่าคุณต้องการส่งข้อมูลบัตรเครดิตของคุณไปที่ Amazon สมมติว่าคุณมีการเชื่อมต่อที่ปลอดภัย แต่คุณไม่ทราบว่าเป็นของ Amazon หรือผู้โจมตีที่ปลอมตัวเป็น Amazon แน่นอนว่าคุณสามารถส่งบัตรเครดิตและมันจะถูกเข้ารหัส แต่คุณไม่มีความคิดว่าบุคคลที่ถือกุญแจไปยังข้อมูลที่เข้ารหัส ดังนั้นการเข้ารหัสจึงมีค่าน้อยที่สุด
อย่างไรก็ตามมันจะปกป้องคุณจากผู้โจมตีที่แฝงตัวอยู่ ไม่มีใครที่กำลังฟังอยู่เท่านั้นสามารถถอดรหัสข้อมูลได้
ใบรับรองใช้สำหรับการแลกเปลี่ยนการเข้ารหัสแบบไม่สมมาตรของคีย์สมมาตรที่จะใช้สำหรับการเข้ารหัส
พยายามแก้ปัญหาความลับที่ใช้ร่วมกัน ดังนั้นใบรับรอง SSL ที่หมดอายุหรือมาจากโดเมนที่ไม่ถูกต้อง (มันสร้างขึ้นมาเพื่อ www.acme.com และกำลังใช้งานอยู่ที่ www.roadrunner.com) หรือ CA ที่ลงนามไม่ใช่รากที่เชื่อถือได้ CA แล้วคุณจะได้รับข้อผิดพลาด
ซึ่งหมายความว่าหากมีคนแกล้งทำไซต์และคุณยอมรับไซต์พวกเขาอาจควบคุมคีย์ symmetric ที่ใช้ทำการเข้ารหัสที่แท้จริงของเซสชัน ดังนั้นในขณะที่มันอาจยังถูกเข้ารหัสใครบางคนอาจรู้จักคีย์ถอดรหัส