有时在浏览某些网站时,点击后不是直接显示内容,而是弹出警告界面,告诉你本网站的安全证书有问题,浏览器建议你不要继续。访问过,其实可以选择继续访问。那么,你怎么敢继续访问一个“不安全”的网站呢?会给您带来损失吗?本文从原理的角度来看看这个过程中发生了什么,我们该如何选择?
为什么提示证书有问题?
客户端通过浏览器向服务器发起HTTPS请求时,被“假基站”转发到“中间人服务器”网页安全证书是什么,因此客户端完成与“ man-in-the-middle server”网页安全证书是什么,然后是“man-in-the-middle server”完成与真实服务器的 TLS 握手。
具体流程如下:
从客户端的角度来看,它可能不知道中间人服务器在网络中的作用。
这样,中间人可以解包浏览器发起的HTTPS请求中的数据,也可以解包服务器到浏览器的HTTPS响应数据。等效地,中间人可以“窥探”浏览器和服务器之间的 HTTPS 请求和响应的数据。
而且发生这样的场景是有前提的,前提是用户点击接受中间人服务器的证书。
在中间人服务器和客户端之间的TLS握手过程中,它实际上是向浏览器发送了自己的伪造证书,而这个伪造的证书可以被浏览器(客户端)识别为非法,所以会提醒用户证书有问题。
证书有问题,我可以访问它吗?
如果用户坚持点击“继续浏览本网站”,则表示用户接受了中间人伪造的证书,所以整个HTTPS通信都可以被中间人窃听。
所以,这可能并不代表HTTPS不够安全,虽然浏览器已经表明证书有问题,如果用户硬要访问,那不是HTTPS,而是自己的穷人之手。所以问题是,我可以访问它吗?
答案是肯定的!网站访问不需要 SSL 证书(或 HTTPS),而且仍有不少网站没有安装 SSL。许多大学和政府网站没有,但仍然可以很好地访问它们。它只是说它不安全。
为什么很多政府网站和高校网站没有安装SSL证书来启用https?虽然提供免费的专用 SSL 证书
但是,出于安全原因,如果不熟悉的网站看起来不安全,请不要访问它们。即使您坚持访问,也不要输入敏感信息,例如帐号、密码等。
