1

这是上下文:我正在开发一个公共网站的管理网站。管理网站的用户只是公司的少数员工,我不想让他们使用 HTTP 来防止中间人攻击。

如果我理解得很好,使用 HTTP 将允许任何有能力嗅探数据包的人(互联网服务提供商、恶意“监听”Wifi 信号……)在有人登录管理时捕获登录名和密码网站,对吧?

我到处阅读以使用 HTTPS 并购买某种证书,但我不愿意(除非你给我一个充分的理由)既不为此付费,也不愿意免费获得一个,只是为了在网络浏览器上开绿灯我的用户。

正如这个问题的标题所指出的,我不明白是否:

  • HTTPS 证书完全是安全通信通道的一部分,这意味着我必须在 HTTP 或 HTTPS 之间进行选择,但没有任何选择。

或者如果

  • HTTPS 证书只是在安全通信通道之上添加的东西,由受信任的第三方为用户提供一些“信心”。在这种情况下,这意味着我可以在 HTTP(每个人都可以嗅探数据包)、不带证书的 HTTPS(安全通信但没有绿灯)、带证书的 HTTPS(带绿灯的安全通信)之间进行选择。

或者

  • 别的东西。

我真的不明白获得证书的意义,因为如果有人,尽管存在所有技术困难,成功地在我的一个用户和我的网络服务器之间实施了中间人攻击,在我看来,它在我的用户和证书颁发机构之间实施相同的攻击似乎并没有付出太多努力。

我肯定在这里错过了一些东西,有人能指出我的方向吗?

谢谢

4

1 回答 1

1

证书是安全通信所必需的。有关更多详细信息,请参阅Wikipedia:公钥证书。如果您不想付费,您可以创建一个自签名证书(该过程因您使用的 Web 服务器而异),但这需要用户明确接受证书(每个浏览器都有自己的方法这样做)。

这可能没问题,因为这是一个管理部分并且不可公开访问,但我仍然建议您购买证书。创建自签名证书的麻烦,以及要求用户接受它不值得花费几美元的 ssl 证书成本。

我真的不明白获得证书的意义,因为如果有人,尽管存在所有技术困难,成功地在我的一个用户和我的网络服务器之间实施了中间人攻击,在我看来,它在我的用户和证书颁发机构之间实施相同的攻击似乎并没有付出太多努力。

SSL 的工作原理并非如此。通过 HTTPS,当浏览器发送它时,所有通信都是加密的,所以即使有人嗅到它,它也无用。

于 2013-01-22T14:51:14.430 回答