我最近为域名购买了SSL证书,我们称之为mydomain.com。我有一个登录脚本,我用它来验证客户端的Active Directory服务。我根本没有真正访问他们的服务器,虽然他们已将我的服务器列入白名单,以便我可以验证他们的登录凭据是否正确。
假设客户在网址为https://www.mydomain.com/login.php的网页上输入他们的登录信息。我已经使用客户端提供的测试帐户测试了我编写的PHP脚本,并且它可以正确识别所提供的用户名/密码组合是否正确。但是,登录信息真的是否在发送时被加密?我是否需要访问客户端AD服务器上的证书以确保登录安全?据我所知,由于我是将信息发送给客户端的人,并且我有SSL证书,因此登录信息应该加密。我假设AD服务器发送给我的所有内容基本上都是关于凭据是否正确的真/假响应,这不应该要求加密。
我对这个过程的理解是否正确?我真的很感激你能提供的任何见解。谢谢!
答案 0 :(得分:1)
以下是我从你那里得到的照片
web browser --(1)--> your-domian.com --(2)--> your client's AD server
因此,您已为your-domain.com购买了SSL证书,因此连接(1)通过SSL并且所有数据都已加密。但是,这与AD服务器的连接没有任何关系。
连接(2)可以通过SSL,TLS或纯连接。换句话说,你需要检查你的login.php在幕后做什么以在AD中进行身份验证。如果它使用的连接是SSL或TLS,则您的数据在该阶段加密,否则不是。
所以你只有一半是正确的。浏览器与您的域之间的数据已加密,但您的域与AD服务器之间的数据可能是也可能不是。