瀏覽器提示網站連結不安全,證書過期了
本文轉自公眾號《差評君》
我們有時候在訪問一些網站的時候可能會遇到平時是安全的連結但是突然就報連結不安全。這時候很有可能就是:證書過期了。
這個證書。。。準確地說,是數字證書。
幹嘛用的呢?
自我證明:證明你上的淘寶網真的是淘寶網。
你可能會好奇,淘寶網的域名 www.taobao.com 這麼多年下來都沒變過,有啥好證明的???
一般來說,上網的時候用的是 HTTP 協議訪問網頁。
你在位址列輸入網址,再按下回車的過程,實際上是通過瀏覽器傳送一個請求。
伺服器收到請求以後,會還給你一個網頁檔案,一般來說長這樣。
瀏覽器會把這一串密密麻麻的東西,轉化成這個樣子⬇️
黑客獲得你的網路許可權以後,可以在你輸入
這個檔案可以是個釣魚頁面,在不知情的時候往裡輸入賬號密碼的話,就完蛋了。
以前訪問網站的時候,用的是 HTTP ,“ 超文字傳輸協議 ” ,網站的開頭是 " http:// " 起始。
後來工程師們覺得這不安全,有類似上面提到的調包風險,就在 HTTP 上添加了一層加密演算法,並命名為 HTTPS , “ 超文字傳輸安全協議 ” 。
數字證書一般是由一些權威機構頒發的,這些機構叫 CA ( Certificate Authority )。
京東的證書籤發者⬇️
CA 就好比是給人發身份證的機構,權威性非常高。
一家網站申請證書時,CA 要去仔細審查這家網站,同時再給這些網站配一套加密工具 ( 公鑰和金鑰 )。
這就類似公安審查一個新生兒的狀況,然後給他/她新增戶口。
瀏覽器會記住這些證書頒發機構,儲存起來。
當你訪問淘寶網時,淘寶網會給瀏覽器( 也就是客戶端 )看自己的證書,同時把上文提到的加密工具裡的 “ 公鑰 ” 一起發過去,類似出示身份證。
瀏覽器接收到證書之後,會拿著證書找頒發機構驗證一下,這一步類似找公安網路驗證身份證。
驗證有效以後還沒完,這隻能證明證書是有效的而已,但萬一是頂替的呢?
隨後瀏覽器掏出發來的公鑰,加密一段訊息,和淘寶網通訊一下,如果是真的淘寶網,對方有 “ 公鑰 ” 對應的 “ 私鑰 ” 來解密。
這個過程叫做非對稱加密,常見的演算法有 RSA 。
實際情況比描述的還要複雜:
數字證書可能會被篡改,因此還需要數字簽名來驗證證書沒被篡改過。
RSA 演算法的背後,是美麗的數學和偉大的工程實現。
總而言之,訪問淘寶網不只是簡單的輸入地址到達目的地,事實上這個過程中簡直演了一出諜戰戲。
HTTPS 這一套方案很有效,現在也被廣泛使用,一些主流瀏覽器,例如谷歌的 Chrome 從去年開始把所有的 HTTP 標記為不安全。
當然,這是一個工程方案,肯定存在短板。
- 忘記續費的話,就會被標記為不安全。。。
那能不能一次性買個幾十年?
也不是不行,這樣就不用惦記著續了。
但是萬一頒發的 CA 出了什麼么蛾子,這錢就花冤枉了;而且同一套加密用很久不更新,挺不安全的。
因此像淘寶網這種正規大型網站,都是一年一續。
- CA 說白了還是一套中心化管理,也就是預設大家相信一個權威。
但這個權威其實是收錢辦事的,萬一為了利益倒賣證書,或者和幾個合作的巨頭聯合打壓競爭對手,那信用體系就崩壞了。
賽門鐵克 ( 防毒軟體諾頓的開發商 )就爆出過證書醜聞。
所以說,目前這一套系統不是沒有問題,安全技術永遠在陽光照不到的地方,和安全問題做著鬥爭。
這也是大家如此憧憬區塊鏈技術的原因之一 --去中心化的加密在很多場景都會非常有用。
對於吃瓜群眾來說,雖然你不用看懂證書,但碰到被瀏覽器標記為 “ 不安全 ” 的網站,還是要謹慎一些。
(有時候CSDN的網站,有圖的就報不安全,沒圖的就沒事,這個應該是在網站的內部稽核存在一些小問題吧)