更多互聯網科普,歡迎點擊右上角關注我~
差評君昨天閑來無事想上個淘寶,結果發現瀏覽器報了個問題,說鏈接不安全。。。
上網搜了搜,發現不止差評君一個人遇到這個問題。
背后的原因很明顯:證書過期了。
這個證書。。。準確地說,是數字證書。
干嘛用的呢?
自我證明:證明你上的淘寶網真的是淘寶網。
你可能會好奇,淘寶網的域名 www.taobao.com 這么多年下來都沒變過,有啥好證明的???
一般來說,上網的時候用的是 HTTP 協議訪問網頁。
你在地址欄輸入網址,再按下回車的過程,實際上是通過瀏覽器發送一個請求。
服務器收到請求以后,會還給你一個網頁文件,一般來說長這樣。
瀏覽器會把這一串密密麻麻的東西,轉化成這個樣子??
黑客獲得你的網絡權限以后,可以在你輸入 www.taobao.com 并回車時,把請求截取,然后還給你個調包過的文件。
這個文件可以是個釣魚頁面,在不知情的時候往里輸入賬號密碼的話,就完蛋了。
以前訪問網站的時候,用的是 HTTP ,“ 超文本傳輸協議 ” ,網站的開頭是 " http:// " 起始。
后來工程師們覺得這不安全,有類似上面提到的調包風險,就在 HTTP 上添加了一層加密算法,并命名為 HTTPS , “ 超文本傳輸安全協議 ” 。
數字證書一般是由一些權威機構頒發的,這些機構叫 CA ( Certificate Authority )。
京東的證書簽發者??
CA 就好比是給人發身份證的機構,權威性非常高。
一家網站申請證書時,CA 要去仔細審查這家網站,同時再給這些網站配一套加密工具 ( 公鑰和密鑰 )。
這就類似公安審查一個新生兒的狀況,然后給他/她添加戶口。
瀏覽器會記住這些證書頒發機構,保存起來。
當你訪問淘寶網時,淘寶網會給瀏覽器( 也就是客戶端 )看自己的證書,同時把上文提到的加密工具里的 “ 公鑰 ” 一起發過去,類似出示身份證。
瀏覽器接收到證書之后,會拿著證書找頒發機構驗證一下,這一步類似找公安網絡驗證身份證。
驗證有效以后還沒完,這只能證明證書是有效的而已,但萬一是頂替的呢?
隨后瀏覽器掏出發來的公鑰,加密一段消息,和淘寶網通信一下,如果是真的淘寶網,對方有 “ 公鑰 ” 對應的 “ 私鑰 ” 來解密。
這個過程叫做非對稱加密,常見的算法有 RSA 。
實際情況比差評君描述的還要復雜:
數字證書可能會被篡改,因此還需要數字簽名來驗證證書沒被篡改過。
RSA 算法的背后,是美麗的數學和偉大的工程實現。
總而言之,訪問淘寶網不只是簡單的輸入地址到達目的地,事實上這個過程中簡直演了一出諜戰戲。
HTTPS 這一套方案很有效,現在也被廣泛使用,一些主流瀏覽器,例如谷歌的 Chrome 從去年開始把所有的 HTTP 標記為不安全。
當然,這是一個工程方案,肯定存在短板。
首先,也是這次淘寶網碰到的問題:忘記續費的話,就會被標記為不安全。。。
這次的過期日子是 11 月 22 日,也就是周四,然而他們應該是忘記及時續上了。
那能不能一次性買個幾十年?
也不是不行,這樣就不用惦記著續了。
但是萬一頒發的 CA 出了什么幺蛾子,這錢就花冤枉了;而且同一套加密用很久不更新,挺不安全的。
因此像淘寶網這種正規大型網站,都是一年一續。
其次是。。。 CA 說白了還是一套中心化管理,也就是默認大家相信一個權威。
但這個權威其實是收錢辦事的,萬一為了利益倒賣證書,或者和幾個合作的巨頭聯合打壓競爭對手,那信用體系就崩壞了。
賽門鐵克 ( 殺毒軟件諾頓的開發商 )就爆出過證書丑聞。
所以說,目前這一套系統不是沒有問題,安全技術永遠在陽光照不到的地方,和安全問題做著斗爭。
這也是大家如此憧憬區塊鏈技術的原因之一 --去中心化的加密在很多場景都會非常有用。
對于吃瓜群眾來說,雖然你不用看懂證書,但碰到被瀏覽器標記為 “ 不安全 ” 的網站,還是要謹慎一些。
圖片來源:StudioRui Marketingtaobao.cominstant SSLjd.com參考資料:Instant SSLsegmentfault @seanlook SSL/TLS原理詳解維基百科 “ HTTPS ”V2EX 帖子 “ 淘寶,你家證書過期了。 ”
更多互聯網科普,歡迎點擊右上角關注我~
差評君昨天閑來無事想上個淘寶,結果發現瀏覽器報了個問題,說鏈接不安全。。。
上網搜了搜,發現不止差評君一個人遇到這個問題。
背后的原因很明顯:證書過期了。
這個證書。。。準確地說,是數字證書。
干嘛用的呢?
自我證明:證明你上的淘寶網真的是淘寶網。
你可能會好奇,淘寶網的域名 www.taobao.com 這么多年下來都沒變過,有啥好證明的???
一般來說,上網的時候用的是 HTTP 協議訪問網頁。
你在地址欄輸入網址,再按下回車的過程,實際上是通過瀏覽器發送一個請求。
服務器收到請求以后,會還給你一個網頁文件,一般來說長這樣。
瀏覽器會把這一串密密麻麻的東西,轉化成這個樣子??
黑客獲得你的網絡權限以后,可以在你輸入 www.taobao.com 并回車時,把請求截取,然后還給你個調包過的文件。
這個文件可以是個釣魚頁面,在不知情的時候往里輸入賬號密碼的話,就完蛋了。
以前訪問網站的時候,用的是 HTTP ,“ 超文本傳輸協議 ” ,網站的開頭是 " http:// " 起始。
后來工程師們覺得這不安全,有類似上面提到的調包風險,就在 HTTP 上添加了一層加密算法,并命名為 HTTPS , “ 超文本傳輸安全協議 ” 。
數字證書一般是由一些權威機構頒發的,這些機構叫 CA ( Certificate Authority )。
京東的證書簽發者??
CA 就好比是給人發身份證的機構,權威性非常高。
一家網站申請證書時,CA 要去仔細審查這家網站,同時再給這些網站配一套加密工具 ( 公鑰和密鑰 )。
這就類似公安審查一個新生兒的狀況,然后給他/她添加戶口。
瀏覽器會記住這些證書頒發機構,保存起來。
當你訪問淘寶網時,淘寶網會給瀏覽器( 也就是客戶端 )看自己的證書,同時把上文提到的加密工具里的 “ 公鑰 ” 一起發過去,類似出示身份證。
瀏覽器接收到證書之后,會拿著證書找頒發機構驗證一下,這一步類似找公安網絡驗證身份證。
驗證有效以后還沒完,這只能證明證書是有效的而已,但萬一是頂替的呢?
隨后瀏覽器掏出發來的公鑰,加密一段消息,和淘寶網通信一下,如果是真的淘寶網,對方有 “ 公鑰 ” 對應的 “ 私鑰 ” 來解密。
這個過程叫做非對稱加密,常見的算法有 RSA 。
實際情況比差評君描述的還要復雜:
數字證書可能會被篡改,因此還需要數字簽名來驗證證書沒被篡改過。
RSA 算法的背后,是美麗的數學和偉大的工程實現。
總而言之,訪問淘寶網不只是簡單的輸入地址到達目的地,事實上這個過程中簡直演了一出諜戰戲。
HTTPS 這一套方案很有效,現在也被廣泛使用,一些主流瀏覽器,例如谷歌的 Chrome 從去年開始把所有的 HTTP 標記為不安全。
當然,這是一個工程方案,肯定存在短板。
首先,也是這次淘寶網碰到的問題:忘記續費的話,就會被標記為不安全。。。
這次的過期日子是 11 月 22 日,也就是周四,然而他們應該是忘記及時續上了。
那能不能一次性買個幾十年?
也不是不行,這樣就不用惦記著續了。
但是萬一頒發的 CA 出了什么幺蛾子,這錢就花冤枉了;而且同一套加密用很久不更新,挺不安全的。
因此像淘寶網這種正規大型網站,都是一年一續。
其次是。。。 CA 說白了還是一套中心化管理,也就是默認大家相信一個權威。
但這個權威其實是收錢辦事的,萬一為了利益倒賣證書,或者和幾個合作的巨頭聯合打壓競爭對手,那信用體系就崩壞了。
賽門鐵克 ( 殺毒軟件諾頓的開發商 )就爆出過證書丑聞。
所以說,目前這一套系統不是沒有問題,安全技術永遠在陽光照不到的地方,和安全問題做著斗爭。
這也是大家如此憧憬區塊鏈技術的原因之一 --去中心化的加密在很多場景都會非常有用。
對于吃瓜群眾來說,雖然你不用看懂證書,但碰到被瀏覽器標記為 “ 不安全 ” 的網站,還是要謹慎一些。
圖片來源:StudioRui Marketingtaobao.cominstant SSLjd.com參考資料:Instant SSLsegmentfault @seanlook SSL/TLS原理詳解維基百科 “ HTTPS ”V2EX 帖子 “ 淘寶,你家證書過期了。 ”