最近我一直在阅读有关ssl / tls和证书的信息,以便为我们的一个网站启用https。
据我目前的理解,一个ssl / tls证书可以验证我们作为客户端是否连接到正确的站点。为此,证书内部的签名用于验证证书是否合法。最后建立了一种安全连接算法,如ECDHE(椭圆曲线Diffie–Hellman)。
我的问题是,如果我想连接到一个说“ www.mysite.com”的网站,然后在浏览器地址栏中键入“ www.mysite.com”,我保证可以连接到正确的网站。那么,当我知道要键入正确的地址时,在Web服务器上安装SSL / TLS证书的目的是什么。
在我对https的工作原理的理解中,我是否缺少某些东西?
ECDHE算法也不依赖证书中的任何信息(如公钥)来建立安全连接。
答案 0 :(得分:1)
...如果我要连接到一个网站,例如“ www.mysite.com”,然后在浏览器地址栏中键入“ www.mysite.com”,则可以保证可以连接到正确的网站。
您不是。使用DNS欺骗,ARP欺骗,被劫持的SoHo路由器等各种技术,...攻击者可能会重新路由您的流量,从而最终将其放置在受攻击者控制的服务器上,而不是您想要的实际服务器上。验证从服务器获取的证书是否可以防止此类攻击。