我一直在阅读Stripe documentation,并要求制作网站拥有SSL证书。
我的理解是,由于卡片信息通过https发送到Stripe,并且只返回了一个收费令牌,因此中间人攻击中没有个人/机密信息。发送到条带的信用卡信息已加密(发送到https网址),并且只返回一个攻击令牌,攻击者无法执行任何有用的操作,因为它只能用于向公司收取一笔费用是为。创建的。
在这种情况下,有谁可以解释SSL证书如何帮助保护用户?当然最好拥有SSL证书,但我想知道为什么必需。
感谢。
答案 0 :(得分:0)
服务器证书对于防止HTTPS中的MITM攻击至关重要。它用于向客户端证明服务器的身份。
没有它,你会有加密,但没有远程方的身份验证,所以基本上你会与某人交换数据,但你不确定是谁:你基本上可以用一个秘密来交换密码MITM攻击者会截获连接。
当然,客户端需要验证它是否信任证书(这是CA的用途),并且它与它正在寻找的服务器的名称相匹配。浏览器通常会这样做(这就是用户不应忽略警告的原因)。
(您可能对Security.SE上的这个问题感兴趣:“What is an SSL certificate intended to prove, and how does it do it?”)