世界上不是每个人都有一份 Gmail 的 SSL 证书吗?如果是这样,为什么我们的浏览器仅仅因为它向我发送了这个证书就信任 gmail.com?任何老人都不能通过访问 gmail.com 并下载它来向我发送相同的证书吗?
问问题
157 次
2 回答
2
否。服务器在 SSL 握手期间发送其证书和由其私钥签名的数字签名。只有真正的证书所有者才能做到这一点。
这在RFC 2246中都有描述。
于 2013-05-15T01:40:03.263 回答
-1
阅读... http://en.wikipedia.org/wiki/Public-key_infrastructure
基本上,谷歌通过 SSL 将其公钥发送到您的浏览器。浏览器如何相信它真的是谷歌?公钥依次由 CA(证书颁发机构)签名。浏览器预先配置了众所周知的 CA。
伪造谷歌的证书是不可能的(或者更精确到不切实际)。那是因为你没有谷歌的私钥。除非您使用相同的密钥,否则您的伪造证书将无法通过 CA 验证。
于 2013-05-15T01:31:03.897 回答