如果客戶端通常在握手過程中收到服務器證書,爲什麼中間人攻擊代理客戶端中的人不能使用從真實服務器發送的相同證書?代理服務器是否可以僞造SSL證書?
如果我沒有弄錯,證書是公開的嗎?
像Twitter https://dev.twitter.com/overview/api/ssl
如果客戶端通常在握手過程中收到服務器證書,爲什麼中間人攻擊代理客戶端中的人不能使用從真實服務器發送的相同證書?代理服務器是否可以僞造SSL證書?
如果我沒有弄錯,證書是公開的嗎?
像Twitter https://dev.twitter.com/overview/api/ssl
很簡單,因爲服務器不會只發證書;它也證明了它是證書的「所有者」這裏簡化說話:
服務器加密可以使用證書解密的內容,但只有證書的所有者才能以此方式加密。
假設您知道公鑰/私鑰密碼模式,證書包含一個公鑰,該公鑰可以解密用服務器的私鑰加密的數據。服務器永遠不會發放私鑰。
好的,我明白了。但說我直接與真實的服務器通信,我得到證書發送,我'不知何故'保存它。爲什麼我現在不能使用獲得的相同證書在中間攻擊中執行一個人,即使啓用ssl鎖定? – ipalibowhyte
,因爲你不能附加只有匹配的私鑰的所有者才能加密的東西,*正如我所解釋的*;) –
啊我看到了!我相信你的意思是公鑰加密和私鑰解密;) – ipalibowhyte
MIM不能簡單地使用相同的證書,因爲它們沒有關聯的私鑰。因此,解密數據仍然是不可能的。證書本身基本上只是一個公鑰。這就是MIM僞造證書併發送它的原因。 – CollinD