江苏龙网

  1. 首页 > 生活 > >

为啥说HTTPS加密链接不是绝对安全的( 二 )


上面写得比较草率,不保证没错漏和错别字啥的,具体有问题会在博客进行修正 IOS 开启HTTPS就安全?

■网友
想起友博的一篇博文关于SSL/TLS中AES安全性|BEAST攻击的详细步骤以及RC4强度的一些笔记博主是个妹子哦
■网友
https 的安全性受几个因素的限制,如证书是否是由信任的ca签发的,协商的密钥长度等。如果 https 的证书有问题,像 chrome 这样的浏览器在调转到页面之前会提示证书不受信任要求用户确认是否调转,而协商的密钥长度这一点是无法察觉的。
■网友
公钥证书体系对加密主要做了两个方面,一个是身份验证,一个是信息加密。1)身份验证是通过经过ca签名的证书,由浏览器根据系统预装的可信证书队形对比,这个叫证书链,最终能从网站的证书一直找到系统信任的根证书,但https保护不了中间人攻击,这个是由不可信的用户在客户机器与服务器之间伪造一个假的站点,这个网上找一下都有详细介绍,这个不细说了。2)信息加密,这个是在HTTP的下一层做的,严格来讲浏览器基本不参与这个事,通过wireshark这种嗅探器可以自己测试一下,是在HTTP建立前做的,浏览器与服务器协商之后通信的对称密钥,因为X509证书用的这种非对称密钥体系加密效率还是比较低的,数据量大还是不太合适,双方在HTTPS握手期用非对称密钥来协商对称密钥,后面的数据加密由对称密钥进行,这块的加密安全一般没什么大问题。
■网友
SSL证书可以加密所有数据吗?随着SSL证书和HTTPS的普及化,很多企业和个人站长都把HTTPS加密使用到自己的网站中,但很多用户对SSL证书和HTTPS对网站安全起的作用太过于夸大,认为只要使用了SSL证书,完成HTTPS化,网站的安全就不用担心了,其实不然,就算对数据进行了加密,也不是绝对安全的。
部署了SSL证书,数据是否绝对安全?
SSL证书只加密传输中的数据,不加密其他数据,诸如cookie和session等存储数据,SSL证书是不对其进行加密的。我们建议企业应该在储存数据时先确保数据的安全性,然后再进行数据的保存。
数据进过SSL证书加密后需要密钥进行解密,很多CA机构并没有很好的管理他们的加密密钥,导致密钥被黑客获取,这时候黑客就可以很轻松的对数据进行解密。值得注意的是,互联网中没有绝对安全的数据,安全永远都是相对的。
【为啥说HTTPS加密链接不是绝对安全的】 延伸阅读:https加密真的可以保护用户隐私吗?


推荐阅读


上一篇:试驾|星瑞试驾好是好,想大卖得看朗逸答不答应

下一篇:智联招聘上招收群众演员都是假的么?