如果网站出现证书错误(例如域名与证书中所述的不匹配)而我继续查看该网站,那么通过 HTTPS 连接传输的数据是否仍然加密?
我的理解是,SSL 证书只是验证网站所有者的身份,以便您(客户)可以确信您正在将数据发送给合法公司。
这是证书提供的唯一作用吗?还是它在加密过程中也发挥作用,以至于上述错误会导致跳过加密?
答案1
数据仍处于加密状态。但是,端点尚未经过验证。因此,数据是“安全的”,因为它是通过网络加密的。但是,如果证书不匹配,您可能会将其发送给错误的人...
答案2
如果您无法识别另一端的人,那么加密连接的价值何在?
假设你想将信用卡信息发送给亚马逊。假设你有一个安全连接,但你不知道它是发送给亚马逊还是发送给冒充亚马逊的攻击者。当然,你可以发送信用卡信息,而且它会被加密,但你不知道哪一方持有加密数据的密钥。因此加密的价值微乎其微。
但是,它可以保护您免受纯粹被动的攻击者的攻击。没有任何人能够解密数据。
答案3
该证书用于加密所用的对称密钥的非对称加密交换。
它试图解决共享密钥问题。因此,如果 SSL 证书已过期,或来自错误的域(它是为 www.acme.com 颁发的,但正在 www.roadrunner.com 上使用),或者签署证书的 CA 不是受信任的根 CA 之一,那么您就会收到错误。
这意味着如果有人伪造了网站并且您接受了它,那么他们就可以控制用于对会话进行实际加密的对称密钥。因此,虽然它可能仍是加密的,但有人可能知道解密密钥。