0

我最近为一个域购买了 SSL 证书,我们称之为 mydomain.com。我有一个登录脚本,用于对客户端的 Active Directory 服务进行身份验证。我根本无法真正访问他们的服务器,尽管他们已将我的服务器列入白名单,以便我可以验证他们的登录凭据是否正确。

假设客户在 URL 为https://www.mydomain.com/login.php的页面上输入他们的登录信息。我已经使用客户端提供的测试帐户测试了我编写的 PHP 脚本,它确实可以正确识别提供的用户名/密码组合是否正确。但是,登录信息真的是在发送时是否被加密?我是否需要访问客户 AD 服务器上的证书以确保登录安全?据我了解,由于我是向客户端发送信息的人,并且我有一个 SSL 证书,因此应该对登录信息进行加密。我假设 AD 服务器发送给我的所有内容基本上都是关于凭据是否正确的真/假响应,这不需要加密。

我对这个过程的理解正确吗?我真的很感激你能提供的任何见解。谢谢!

4

1 回答 1

1

这是我从你那里得到的图片

web browser --(1)--> your-domian.com --(2)--> your client's AD server

因此,您购买了 SSL 证书your-domain.com,因此连接(1)是通过 SSL 进行的,并且所有数据都已加密。但是,这并没有说明与 AD 服务器的连接。

连接(2)可能通过 SSL、TLS 或普通连接。换句话说,您需要检查您login.php在幕后所做的事情以在 AD 中进行身份验证。如果它使用的连接是 SSL 或 TLS,则您的数据在该阶段被加密,否则不是。

所以你只对了一半。浏览器和您的域之间的数据是加密的,但您的域和 AD 服务器之间的数据可能会也可能不会。

于 2013-08-05T08:00:31.430 回答