Хорошие статьи для чтения на SSL и HTTPS?
У меня была проблема с принятием недопустимого сертификата SSL в моей программе iPhone. Та проблема решена теперь, однако я пришел к пониманию, что у меня есть очень абстрактная идея о том, как точно все это работает:
- как веб-браузер проверяет, что полученный сертификат действительно для хоста, который он передает к и не фальсифицируемый той же стороной в середине?
- если браузер говорит с некоторой третьей стороной (CA?), чтобы сделать проверку сертификата?
и много других вопросов... Кто-то рекомендовал бы хороший источник информации с достаточно всесторонним описанием того, как все части нажимают вместе?
4 ответа
Здесь много подробностей: Первые несколько миллисекунд https-соединения
И исчерпывающая книга по этой теме: SSL и TLS: Проектирование и построение безопасных систем
Просмотрите статьи здесь , в частности «Введение в SSL» и «Создание систем аутентификации пользователей для сред клиент-сервер».
Это отличный доклад BlakHat о современных атаках на SSL: http://www.aughtcrime.org/software/sslstrip/ Недавно Chrome представил "Strict Транспортная безопасность »для https, которая частично защищает от атак Moxie Marlen Spikes.