1

コンテキストは次のとおりです。私は公開Webサイトの管理Webサイトの開発中です。管理Webサイトのユーザーは会社のほんの数人の従業員であり、中間者攻撃を防ぐためにHTTPを使用させたくありません。

私がよく理解していれば、HTTPを使用すると、パケットを盗聴できる人(インターネットサービスプロバイダー、Wifi信号を「聞いている」悪意のある人など)が、誰かが管理者にログインしたときにログインとパスワードをキャッチできるようになります。ウェブサイトでしょ?

私はHTTPSを使用して何らかの証明書を購入するためにどこでも読んでいますが、(正当な理由がない限り)これにお金を払ったり、Webブラウザーを青信号にするために無料で取得したりするつもりはありません。私のユーザーの。

この質問のタイトルが指摘しているように、私は次のことを理解していません。

  • HTTPS証明書は完全に安全な通信チャネルの一部です。つまり、HTTPまたはHTTPSのどちらかを選択する必要がありますが、どちらかを選択する必要はありません。

または

  • HTTPS証明書は、安全な通信チャネルの上に追加されたものであり、信頼できるサードパーティによる「自信」をユーザーに提供します。これは、この場合、HTTP(誰もがパケットを盗聴できる)、証明書なしのHTTPS(安全な通信だが青信号なし)、証明書付きのHTTPS(青信号による安全な通信)のいずれかを選択できることを意味します。

また

  • 他の何か。

誰かが技術的な困難にもかかわらず、私のユーザーの1人と私のWebサーバーの間に中間者攻撃を仕掛けることに成功した場合、私の認識では、証明書を取得する意味が本当にわかりません。私のユーザーと認証局の間に同じ攻撃を仕掛けるための追加の努力はそれほど多くないようです。

私は確かにここで何かを見逃す必要があります、誰かが私に任意の方向を示すことができますか?

ありがとう

4

1 に答える 1

1

証明書は、通信を安全に行うために必要です。詳細については、ウィキペディア: 公開鍵証明書を参照してください。支払いたくない場合は、自己署名証明書を作成できます (プロセスは使用している Web サーバーによって異なります) が、その場合、ユーザーは証明書を明示的に受け入れる必要があります (各ブラウザーには独自の方法があります)。これを行う)。

これは管理セクションであり、公開されていないので問題ないかもしれませんが、それでも証明書を購入することをお勧めします. 自己署名証明書を作成する手間と、ユーザーにそれを受け入れるよう求めることは、ssl 証明書にかかる数ドルの価値はありません。

証明書を取得する意味がまったくわかりません。技術的な困難にもかかわらず、誰かが私のユーザーの 1 人と Web サーバーの間に中間者攻撃を仕掛けることに成功した場合、私の認識では、それはユーザーと認証局の間で同じ攻撃を仕掛けるための追加の努力はそれほど多くないようです。

それはSSLの仕組みとはまったく異なります。HTTPS では、ブラウザが送信するときにすべての通信が暗号化されるため、盗聴されても役に立ちません。

于 2013-01-22T14:51:14.430 に答える