gpt4 book ai didi

ssl - 网站上过期的 X509 证书是否存在安全问题?

转载 作者:行者123 更新时间:2023-12-04 22:38:31 25 4
gpt4 key购买 nike

场景 1:如果您在内部网站上使用自签名证书,您仍在使用加密。最大的安全问题(我知道)是您的浏览器不会将证书识别为受信任的事实,当您告诉浏览器信任它时,大多数人不会验证您信任的证书实际上是Web 服务器上的证书,而不是用他们自己的证书替换您的证书的中间人系统。所以这里的安全问题很清楚。
场景 2:使用来自全局信任的实际 CA 的有效 X509 证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,安全问题是什么?您仍在使用加密。私钥在 Web 服务器上仍然是安全的。如果中间人系统尝试替换证书,您可能会收到关于证书无效的浏览器警告,而不是关于它已过期的警告。
PS。有一整篇关于 Dangers of SSL Certificate Expiration 的文章,但它所做的只是提及仅适用于公共(public)网站(而非内部网站)的业务不利因素(而非技术不利因素),并提及诸如“个人信息面临中间人攻击风险”之类的通用声明,为零解释为什么他们认为是这种情况。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对这样一个复杂的主题这样做的——他们说的是一个他们认为是正确的通用陈述,但不知道为什么。

最佳答案

证书有一个生命周期来简化证书吊销。一旦证书过期,它就被认为是无效的,这意味着 CA 不需要保留该证书的吊销信息,也不需要根据客户的要求提供(即使用 CRL、OCSP 等进行吊销检查)。
因此,如果过期的证书被泄露(攻击者知道私钥),证书所有者不能撤销它,因为它已经无效了。这意味着中间人可以用原始证书和被盗的私钥冒充原始服务器,而客户端无法通过检查撤销来检测到这一点。

关于ssl - 网站上过期的 X509 证书是否存在安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64158462/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com