更多互联网科普请点击右上角关注我~
差评君昨天没事想去淘宝。结果他发现浏览器报了个问题,说链接不安全。。。
我上网搜了一下,发现遇到这个问题的不止差评君一个。
这背后的原因很明显:证书已经过期。
这个证书。。。准确的说是数字证书。
这是干什么用的?
自证:证明你访问的淘宝网站真的是淘宝。
你可能会好奇,淘宝的域名这么多年都没变过。有什么好证明的???
一般来说,上网时,使用HTTP协议访问网页。
在地址栏输入网址,然后按回车键的过程,其实就是通过浏览器发送请求。
服务器收到请求后,会给你返回一个网页文件,一般是这样的。
浏览器会把这一堆密密麻麻的东西变成这个样子。
获得你的网络权限后,黑客就可以在你进入进入的时候拦截请求,然后给你一个被切换的文件。
该文件可能是钓鱼网页。如果你在不知情的情况下把账号密码输入进去,那就完了。
之前访问网站的时候用://“开始”。
后来工程师觉得不安全,有像上面说的那种切换包的风险,也就是“超文本传输安全协议”。
数字证书一般由一些权威机构颁发,称为CA (Certificate Authority)。
JD.COM证书发行人
CA就像一个给人发身份证的机构,权威性很高。
当一个网站申请证书时,CA应该仔细审查该网站,同时为这些网站分配一套加密工具(公钥和密钥)。
这就像警察检查新生儿的情况,然后加上他/她的户口。
浏览器会记住这些证书颁发机构并保存它们。
当你访问淘宝的时候,淘宝会向浏览器(也就是客户端)出示你的证书,并一起发送上述加密工具中的“公钥”,类似于出示身份证。
浏览器收到证书后,会将证书带到颁发机构进行验证。这一步类似于找公安网验证身份证。
验证完了还没结束,只能证明证书有效,但是如果是换证呢?
然后浏览器拿出发来的公钥,加密一条消息,和淘宝通信。如果是真的淘宝,对方有“公钥”对应的“私钥”来解密。
这个过程叫做非对称加密,常用的算法是RSA。
实际情况比差评君描述的更复杂:
数字证书可能被篡改,因此还需要数字签名来验证证书没有被篡改。
RSA算法的背后是美丽的数学和伟大的工程实现。
总之,逛淘宝不仅仅是简单的输入地址到达目的地。其实就是一部过程中的谍战剧。
标记为不安全。
当然,这是工程方案,肯定有不足之处。
首先,也是淘宝这次遇到的问题:忘记续费,会被标记为不安全。。。
这个时间的到期日是11月22日,也就是周四,但是他们应该是忘记及时续费了。
能一次买几十年吗?
也不是不可以,不用记得继续。
但是如果发的CA出了事,钱就浪费了;而且同一套加密长期不更新,相当不安全。
因此,像Taobao.com这样的正规大型网站每年都在继续。
其次。。。说白了,CA还是一套集权管理,就是大家默认相信一个权威。
但是,这个机关其实是收钱办事的。万一倒卖证书牟利,或者和几个合作巨头联合打压竞争对手,信用体系就崩溃了。
赛门铁克(反病毒软件诺顿的开发商)曾爆出证书丑闻。
所以目前这个系统也不是没有问题。安全技术总是在阳光照射不到的地方,在安全问题上苦苦挣扎。
这也是大家如此渴望区块链技术的原因之一——去中心化加密在很多场景下会非常有用。
对于吃瓜群众来说,虽然不用看证书,但是遇到被浏览器标记为“不安全”的网站还是要谨慎。
图片来源:StudioRui Marketingtaobao.cominstant SSLjd.com参考资料:Instant SSLsegmentfault @seanlook SSL/TLS原理详解维基百科 “ 帖子 “ 淘宝,你家证书过期了。 ”
图片:ruimarketingtaobao.com工作室即时SSLjd.com参考:即时SSL segment fault @ Sean look SSL/TLS原理详解维基百科“贴吧”淘宝,你的证书已经过期了。"
