![是否可以从 SSL 请求中提取签名消息?](https://linux22.com/image/736327/%E6%98%AF%E5%90%A6%E5%8F%AF%E4%BB%A5%E4%BB%8E%20SSL%20%E8%AF%B7%E6%B1%82%E4%B8%AD%E6%8F%90%E5%8F%96%E7%AD%BE%E5%90%8D%E6%B6%88%E6%81%AF%EF%BC%9F.png)
给定任何 HTTPS 服务器,比如 google.com,我们能否提取该数据的有效负载/响应和签名?
目的是提出请求并获取可使用标准证书颁发机构系统检查的数据文件和签名。
答案1
应用程序数据未经过 TLS 签名,请求/响应也未在 HTTP 级别签名。没有签名就无法提取数据。TLS 中的应用程序数据受到保护,不会被中间人修改。但这是通过 HMAC 实现的,其中客户端和服务器都知道密钥,这意味着客户端可以为服务器发送的数据创建 HMAC,因此这不能用作服务器已发送数据的证明。
给定任何 HTTPS 服务器,比如 google.com,我们能否提取该数据的有效负载/响应和签名?
目的是提出请求并获取可使用标准证书颁发机构系统检查的数据文件和签名。
应用程序数据未经过 TLS 签名,请求/响应也未在 HTTP 级别签名。没有签名就无法提取数据。TLS 中的应用程序数据受到保护,不会被中间人修改。但这是通过 HMAC 实现的,其中客户端和服务器都知道密钥,这意味着客户端可以为服务器发送的数据创建 HMAC,因此这不能用作服务器已发送数据的证明。