Adımları güvenli bir ssl sertifikası doğrulamak için ihtiyaç duyulan bir dizi nedir? Benim (çok sınırlı) anlayış olduğunu ne zaman ziyaret ettiğiniz bir https sitesi, sunucu gönderir bir sertifika için istemci (tarayıcı) ve tarayıcı alır sertifikayı veren bilgileri, sertifika, sonra kullanan kişi issuerer, ve bir şekilde karşılaştırır sertifikalar için geçerlilik.

• Tam olarak nasıl bu yapılır?
• Bu süreç bağışıklık-ortadaki adam saldırıları hakkında ne yapar?
• Her şeyi "" güvenli? gözüküyor man-in-the-middle saldırıları kullanmak için kendi doğrulama hizmet kurma rastgele bir kişi ne engeller,

Burada çok basit bir açıklama:

1. Web tarayıcısı, web sunucusu ortak anahtar içeren web sunucu sertifikası, indir. Bu sertifika güvenilir bir sertifika otoritesi özel anahtar ile imzalanır.

2. Web tarayıcısı önemli sertifika otoritelerinin tüm kamu tuşları ile yüklü geliyor. Web sunucu sertifikası gerçekten güvenilir bir sertifika otoritesi tarafından imzalanmış olduğunu doğrulamak için bu ortak anahtar kullanır.

3. Sertifika web sunucusu etki alanı adı ve/veya ıp adresini içerir. Web tarayıcınızı adresi sertifikada listelenen açık bir bağlantı var olduğunu doğruluyor.

4. Web tarayıcınız bu bağlantıda HTTP trafiğini şifrelemek için kullanılacak olan paylaşılan bir simetrik anahtar oluşturur; bu her şey için kamu/özel anahtar şifreleme kullanarak çok daha verimli olur. Tarayıcınız sonra geri gönderir, web sunucusu ortak anahtar, yalnızca web sunucusu web sunucusu özel anahtar olduğundan sadece şifresini sağlar böylece simetrik anahtar şifreler.

Sertifika yetkilisi (CA) önlenmesi açısından büyük önem man-in-the-middle saldırıları olduğunu unutmayın. Ancak, hatta imzasız bir sertifikayı paylaşılan bir simetrik anahtar erişmek için hiçbir yolu yoktur beri pasif olarak şifreli trafik dinlemeyi engellemek olacaktır.