TL;DR:真实网站和安全网站之间有什么区别吗?更准确地说,如果证书无效,通过 HTTPS 连接到网站是否有任何安全优势?
在我今天进行的一项测试中,当我们被问到在购物网站上浏览时是在安全网站上还是在真实网站上更好,我想知道安全和真实之间是否有任何区别。
IMO,根据定义,一个真实的网站必须得到保护,否则对网站的任何认证都是没有意义的。
但是,反过来说是真的吗?安全网站是否必须经过身份验证?我们是否仍然可以认为您正在使用 HTTPS,并且如果证书无效,它有安全优势吗?
根据我个人的理解,虽然“非身份验证的非对称安全连接”的安全性不如经过身份验证的连接,但仍然有这样的好处,即只要没有中间人攻击发生,就没有人能够解码传输的内容, 我对吗?
一般来说,你是正确的。如您所料,您仍在通过 HTTPS 进行连接。然而,身份验证确实是 TLS 和 HTTPS 安全性的关键部分。即使数据受 TLS 保护,如果没有有效且正确的证书,您也无法确定在另一端实际与谁交谈。它可能是您期望的站点的服务器。但是,很难知道是否实际上可能存在中间人,在重新加密之前在明文中解密和检查(并可能篡改)流量以在您之间来回转发以及您认为正在与之交谈的网站。
因此,虽然肯定有可能未经身份验证的连接仍然是安全的,但很难知道,并且在大多数情况下,证书错误确实表明连接有问题。
是的。即使有人可能会欺骗您,在线上的其他人仍然看不到您在做什么。例如,您还可以手动检查自颁发证书的公钥。
那么,如果您选择继续,您实际上是在使用 http 协议浏览吗?还是https协议?
事实上,您正在使用 https 浏览网站,它只是浏览器不信任的 SSL 证书的颁发者。
在今天进行的一项测试之后,我问自己这个问题,我们被问到在购物网站上浏览时是在安全网站上还是在经过身份验证的网站上更好。这让我想知道安全和经过身份验证之间是否有任何区别。
我猜这是一个“陷阱”问题。两者针对两个不同的目的:
“认证网站”:网站知道正确的用户正在购物。
“安全网站”:用户知道他在正确的网站上购物。
更新:
在我看来,“真实网站”一词在信息安全中并不常用,除非你把它放在特定的上下文中。
话虽这么说,“真实”网站和安全网站之间的唯一区别在于,第一个网站拥有由受信任的证书颁发机构 (CA) 颁发的 SSL 证书,CA