web-dev-qa-db-ja.com

証明書が有効でない場合、HTTPS経由で接続するとセキュリティ上のメリットはありますか?

TL; DR:authenticsecured Webサイトの間に違いはありますか?より正確には、HTTPS経由でWebサイトに接続することでセキュリティ上の利点はありますか?証明書が有効でない場合?

今日行ったテストの結果、ショッピングサイトを閲覧するときにセキュリティで保護されたWebサイトまたは認証されたWebサイトのほうがよいかどうかを尋ねられました。 securedauthenticの間に違いがありました。

IMOは、定義により、authenticウェブサイトhasが保護されます。それ以外の場合、ウェブサイトの認証は無意味になります。

しかし、それは逆に正しいのでしょうか? securedウェブサイト必要に応じて認証されていますか? HTTPSを使用していて、証明書が有効でない場合にセキュリティ上の利点があると私たちはまだ考えられますか?

私の個人的な理解から、「認証されていない非対称的に保護された接続」は認証された接続よりも安全ではありませんが、中間者攻撃が発生しない限り、誰も実行しないという利点があります送信されたものをデコードできますか?

6
Trevör

一般的に言って、あなたは正しいです。ご想像のとおり、まだHTTPS経由で接続しています。ただし、認証は確かにTLSおよびHTTPSセキュリティの重要な部分です。データはTLSで保護されていますが、有効で正しい証明書がないと、相手側で実際に誰と話しているのかがわかりません。それはあなたが期待するサイトのサーバーかもしれません。ただし、実際には中間者がいる可能性がある場合は、トラフィックを暗号化して解読してから(場合によっては改ざんして)再暗号化してから、ユーザー間で転送して前後に転送します。そして、あなたが話していると思うサイト。

したがって、認証されていない接続が依然として安全である可能性は確かにありますが、それを知ることは非常に困難であり、ほとんどの場合、証明書エラーは確かに、接続に何かが間違っていることを示しています。

9
Xander

はい。誰かがあなたをMitMingしている可能性がありますが、他の人はあなたが何をしているかまだ見えません。たとえば、自己発行の証明書の公開鍵を手動で確認することもできます。

5
billc.cn

したがって、続行することを選択した場合、実際にhttpプロトコルで参照していますか?またはhttpsプロトコル?

実際、httpsを使用してWebサイトを閲覧している場合、それはSSL証明書の発行者であり、ブラウザーが信頼していません。

私が今日行ったテストの後に、この質問をしました。ショッピングサイトを閲覧するときに、セキュリティで保護されたWebサイトと認証されたWebサイトのどちらが良いのかを尋ねられました。そのため、セキュリティで保護されたものと認証されたものに違いがあるのではないかと思いました。

これは「罠」の質問だと思います。 2つは2つの異なる目的に対処します。

認証済みウェブサイト」:ウェブサイトは、適切なユーザーが買い物をしていることを認識しています。

「保護されたWebサイト」:ユーザーは、自分が正しいWebサイトで買い物をしていることを知っています。

更新:
私の控えめな意見では、「本格的なWebサイト」という用語は、特定のコンテキストに置かない限り、情報セキュリティでは一般的に使用されていません。
「認証済み」のWebサイトと保護されたWebサイトの唯一の違いは、最初のWebサイトは信頼できる認証局(CA)から発行されたSSL証明書を持っているということです [〜#〜] ca [〜#〜]

2
elsadek