有些事情我不明白。可能我对 HTTPS 的工作原理有一些误解。
我听说有些无线路由器允许用户使用 HTTPS 访问管理页面(这是一个好主意,因为这样你就可以通过无线方式安全地配置。)完成后,如何确定路由器的身份?我的意思是,据我所知,正常的安全网站(如https://www.paypal.com/) 有一个秘密的私钥,这样当客户端的计算机看到相应的公钥时,他就可以确定他确实在与 PayPal 通信。(到目前为止我说得对吗?)
但是路由器如何存储私钥?我的意思是,黑帽硬件黑客难道不能物理地打开它,获取私钥,然后进行中间人攻击吗?(我知道,在这种情况下,这可能不是一种实用的攻击。)
答案1
它使用所谓的“自签名证书”,是的,它可能不安全。但是,如果您在物理连接到路由器时“永久接受”它,那么此后,只要路由器不想设置另一个证书,您就可以始终信任它。
答案2
更好的网络硬件允许您上传新的私有证书,这样您甚至可以从公认的证书颁发机构购买真正的证书。即使您不这样做,您也可以从您在域中运行和授权的 CA 生成自签名证书。