Как сертификаты SSL проверяются?
Если вы хотите использовать что-то другое, кроме matplotlib (но все еще python), есть мудрец:
Пример: http://sagenb.org/home/pub/1806
3 ответа
Вот очень упрощенное объяснение:
-
Ваш веб-браузер загружает сертификат веб-сервера, который содержит открытый ключ веб-сервера. Этот сертификат подписывается с закрытым ключом доверенного центра сертификации.
-
Ваш веб-браузер прибывает установленный с открытыми ключами всех крупнейших центров сертификации. Это использует этот открытый ключ, чтобы проверить, что сертификат веб-сервера был действительно подписан доверенным центром сертификации.
-
сертификат содержит доменное имя и/или IP-адрес веб-сервера. Ваш веб-браузер подтверждает с центром сертификации, что адрес, перечисленный в сертификате, является одним, с которым это имеет открытое соединение.
-
Ваш веб-браузер генерирует общий симметричный ключ, который будет использоваться для шифрования Трафика HTTP на этом соединении; это намного более эффективно, чем использование общественности/шифрования с закрытым ключом для всего. Ваш браузер шифрует симметричный ключ с открытым ключом веб-сервера, тогда передает его обратно, таким образом гарантируя, что только веб-сервер может дешифровать его, так как только веб-сервер имеет свой закрытый ключ.
Примечание, что центр сертификации (CA) важен для предотвращения атак "человек посередине". Однако даже неподписанный сертификат предотвратит кого-то от пассивного слушания в на Вашем зашифрованном трафике, так как у них нет способа получить доступ к Вашему общему симметричному ключу.
Стоит отметить, что в дополнение к покупке сертификата (как упомянуто выше), можно также создать собственное бесплатно; это упоминается как "самоподписанный сертификат". Различие между самоподписанным сертификатом и один это куплено, просто: купленный был подписан Центром сертификации, о котором уже знает Ваш браузер. Другими словами, Ваш браузер может легко проверить подлинность купленного сертификата.
, К сожалению, это привело к распространенному заблуждению, что самоподписанные сертификаты по сути менее безопасны, чем проданные коммерческим CA как GoDaddy и Verisign, и что необходимо жить с предупреждениями/исключениями браузера при использовании их; это неправильно .
, Если Вы надежно распределяете самоподписанный сертификат (или сертификат CA, как bobince предложенный) и устанавливаете его в браузерах, которые используют Ваш сайт , это столь же безопасно как один, это куплено и не уязвимо для подделки сертификата и атак "человек посередине". Очевидно, это означает, что только выполнимо, если только несколько человек должны защитить доступ к Вашему сайту (например, внутренние приложения, персональные блоги, и т.д.).
В интересах увеличивающейся осведомленности и ободрительного товарища мелкие блоггеры как я для защиты себя я описал учебное руководство начального уровня, которое объясняет более подробно понятия позади сертификатов и как безопасно создать и использовать самоподписанный сертификат (вместе с примерами кода и снимками экрана).
У клиента есть предварительно отобранное хранилище открытых ключей полномочий сертификата SSL. Должна быть цепочка доверия из сертификата для сервера через промежуточные полномочия до одного из так называемых "корневых" сертификатов для сервера, которому будут доверять.
можно исследовать и/или изменить список доверяемых полномочий. Часто Вы делаете это для добавления сертификата для местных властей, что Вы знаете, что доверяете - как компания, Вы работаете на или школа, которую Вы учитесь или что нет.
предварительно отобранный список может варьироваться, в зависимости от которого клиента Вы используете. Крупные поставщики сертификата SSL обеспечивают, чтобы их корневые сертификаты были во всех главных браузерах ($$$).
нападения Monkey-in-the-middle "невозможны", если у взломщика нет закрытого ключа доверяемого корневого сертификата. Так как соответствующие сертификаты широко развертываются, воздействие такого закрытого ключа имело бы серьезные последствия для безопасности электронной коммерции обычно. Из-за этого те закрытые ключи очень, очень тесно охраняют.