محمد

چگونگی تایید گواهینامه های دیجیتالی

سلام دوستان خسته نباشید.

چطور میشه گواهینامه ی یک سایت رو verify کرد؟ اطمینان حاصل کرد که کلید عمومی همونی هست که باید باشه و خود گواهینامه هم تغییر در محتواش ایجاد نشده باشه.

علاوه بر این موارد چطور SSL رو دور می زنند؟

تشکر

#نحوه_اعتبارسنجی_ssl_certificate_ها_توسط_مرورگر_ها_چگونه_است #ssl_certificate_ها_چگونه_اعتبارسنجی_می_شوند #نحوه_اعتبارسنجی_ssl_certificate_ها_چگونه_است
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.

بصورت کلی تو 4 مرحله فرآیند ارسال و دریافت SSL Certificate صورت میگیره :

1. زمانی که وارد وب سایتی که از HTTPS داره استفاده می کنه میشید مرورگر شما SSL Certificate وب سرور رو دانلود می کنه که این SSL Certificate شامل Public Key وب هستش. خود این Certificate هم با Private Key یا کلید خصوصی CA بصورت Sign درومده.

2. وقتی شما مرورگر Chrome و یا Firefox رو دانلود و نصب می کنید این مرورگر ها Public Key های عمده ی CA ها ( مثل VeriSign ، GeoTrust ، DigiCert ، GoDaddy , ... ) رو تو خودشون دارن. مرورگر از این Public Key استفاده می کنه تا مطمئن بشه وب سروری که SSL Certificate به شما فرستاده تا دانلود کنید همونی هست که ازون CA مورد نظر Certificate رو گرفته یا خیر. بعبارتی مقایسشون می کنه تا مطمئن بشه. پیشنهاد میشه که همیشه از مرورگر های شناخته شده مثل Chrome و یا Firefox استفاده کنید و ترجیحا از وب سایت خودشون دانلودشون کنید و بصورت دائم آپدیتش کنید.

3. SSL Certificate وب سرور که دانلودش کردید همچنین شامل Domain name و آدرس IP وب سرور هست. مرورگر شما همچنین با CA ارتباط برقرار می کنه و مطمئن میشه که این آدرس ها رو توی خودت داری یا نه و میشه باهاش ارتباط برقرار کرد یا خیر.

4. مرورگر شما یک Symmetric key اشتراکی یا کلید متقارن Generate می کنه و ازش برای رمزنگاری ترافیک HTTP استفاده می کنه. که این خودش خیلی کارامدتر از استفاده از کلید های Public//Private برای رمزنگاری ترافیک هست. مرورگر Symmetric key رو با Public Key ای که از وب سرور دریافت کرده Encrypt می کنه و بعدش میفرسته برای وب سرور و اطمینان حاصل می کنه که فقط وب سرور میتونه Decrypt اش کنه چون که وب سرور هست که فقط Private key رو داره.

توجه کنید که وجود CA خیلی برای جلوگیری از حملات MITM تاثیر داره ، با این وجود حتی Certificate های Sign نشده هم مانع از افراد مهاجم میشه تا ترافیک رمزنگاری شده رو شنود کنن چون که هکر ها هیچ راهی رو برای بدست آوردن Symmetric key اشتراکی ندارن.

AMIRHOSSEIN KARIMPOUR
محمد

تشکر بابت توضیحتون.

منظور من از verify کردن گواهینامه این بود که مثلا من الان گواهینامه یک سایت رو دانلود کردن و روی دسکتاپم گذاشتم چطور بدون مرورگر این رو verify کنم؟ یعنی مطمین بشم که Signature , Fingerprint , PublikKey همون هایی هست که باید باشه؟ (بدون استفاده از مرورگر)

توجه کنید که وجود CA خیلی برای جلوگیری از حملات MITM تاثیر داره ، با این وجود حتی Certificate های Sign نشده هم مانع از افراد مهاجم میشه تا ترافیک رمزنگاری شده رو شنود کنن چون که هکر ها هیچ راهی رو برای بدست آوردن Symmetric key اشتراکی ندارن

پس چطور حملات Sniff مبتنی بر HTTPS اتفاق می افته ؟ ابزارهایی نظیر Bettercap و ...

پاسخ شما
برای ارسال پاسخ خود وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....