https 证书问题
假如我是黑客,我想伪造一个百度,因为百度的证书是公开的,我可以拿到,那么为什么不能把百度的证书安装到自己的网站进行下发呢?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
假如我是黑客,我想伪造一个百度,因为百度的证书是公开的,我可以拿到,那么为什么不能把百度的证书安装到自己的网站进行下发呢?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(2)
1、假设你伪造一个站点,但域名与证书签发的不匹配,SSL 握手失败。
2、假设你通过 DNS 劫持等方式,让域名也是 baidu.com 了,你没公钥配套的私钥,Web 服务器无法做加密操作,SSL 握手失败。
3、假设你 DNS 劫持、用私签证书(就可以不用人家本来的私钥了),CA 验签失败。但这种情况下客户端可以强行忽略证书错误也能访问你的伪造站点了(前一段 github.com 在大陆被劫持就是这种方式)。
4、假设你 DNS 劫持、CA 劫持、甚至入侵了保存 baidu.com 私钥的服务器……那确实你能伪造成功了。
P.S. 所以说非对称加密体系的私钥很重要。
百度公开的是 公钥
私钥是拿不到的, 你也没办法伪造
就算你直接去 购买baidu.com 证书, 证书机构要审核的 不会随便花钱就能买到