50٪ تخفیف روی تمام دوره‌ها!
پایان تخفیف تا:
مشاهده دوره‌ها
  1. توسینسو
  2. سوالات
  3. هک و امنیت شبکه
  4. چگونگی تایید گواهینامه های دیجیتالی
0

چگونگی تایید گواهینامه های دیجیتالی

سلام دوستان خسته نباشید.

چطور میشه گواهینامه ی یک سایت رو verify کرد؟ اطمینان حاصل کرد که کلید عمومی همونی هست که باید باشه و خود گواهینامه هم تغییر در محتواش ایجاد نشده باشه.

علاوه بر این موارد چطور SSL رو دور می زنند؟

تشکر

پرسیده شده در 1398/02/07 توسط
آواتار محمد

2 پاسخ

0

بصورت کلی تو 4 مرحله فرآیند ارسال و دریافت SSL Certificate صورت میگیره :

1. زمانی که وارد وب سایتی که از HTTPS داره استفاده می کنه میشید مرورگر شما SSL Certificate وب سرور رو دانلود می کنه که این SSL Certificate شامل Public Key وب هستش. خود این Certificate هم با Private Key یا کلید خصوصی CA بصورت Sign درومده.

2. وقتی شما مرورگر Chrome و یا Firefox رو دانلود و نصب می کنید این مرورگر ها Public Key های عمده ی CA ها ( مثل VeriSign ، GeoTrust ، DigiCert ، GoDaddy , ... ) رو تو خودشون دارن. مرورگر از این Public Key استفاده می کنه تا مطمئن بشه وب سروری که SSL Certificate به شما فرستاده تا دانلود کنید همونی هست که ازون CA مورد نظر Certificate رو گرفته یا خیر. بعبارتی مقایسشون می کنه تا مطمئن بشه. پیشنهاد میشه که همیشه از مرورگر های شناخته شده مثل Chrome و یا Firefox استفاده کنید و ترجیحا از وب سایت خودشون دانلودشون کنید و بصورت دائم آپدیتش کنید.

3. SSL Certificate وب سرور که دانلودش کردید همچنین شامل Domain name و آدرس IP وب سرور هست. مرورگر شما همچنین با CA ارتباط برقرار می کنه و مطمئن میشه که این آدرس ها رو توی خودت داری یا نه و میشه باهاش ارتباط برقرار کرد یا خیر.

4. مرورگر شما یک Symmetric key اشتراکی یا کلید متقارن Generate می کنه و ازش برای رمزنگاری ترافیک HTTP استفاده می کنه. که این خودش خیلی کارامدتر از استفاده از کلید های Public//Private برای رمزنگاری ترافیک هست. مرورگر Symmetric key رو با Public Key ای که از وب سرور دریافت کرده Encrypt می کنه و بعدش میفرسته برای وب سرور و اطمینان حاصل می کنه که فقط وب سرور میتونه Decrypt اش کنه چون که وب سرور هست که فقط Private key رو داره.

توجه کنید که وجود CA خیلی برای جلوگیری از حملات MITM تاثیر داره ، با این وجود حتی Certificate های Sign نشده هم مانع از افراد مهاجم میشه تا ترافیک رمزنگاری شده رو شنود کنن چون که هکر ها هیچ راهی رو برای بدست آوردن Symmetric key اشتراکی ندارن.

پاسخ در 1398/02/07 توسط
آواتار امیرحسین کریم پور
0

تشکر بابت توضیحتون.

منظور من از verify کردن گواهینامه این بود که مثلا من الان گواهینامه یک سایت رو دانلود کردن و روی دسکتاپم گذاشتم چطور بدون مرورگر این رو verify کنم؟ یعنی مطمین بشم که Signature , Fingerprint , PublikKey همون هایی هست که باید باشه؟ (بدون استفاده از مرورگر)

توجه کنید که وجود CA خیلی برای جلوگیری از حملات MITM تاثیر داره ، با این وجود حتی Certificate های Sign نشده هم مانع از افراد مهاجم میشه تا ترافیک رمزنگاری شده رو شنود کنن چون که هکر ها هیچ راهی رو برای بدست آوردن Symmetric key اشتراکی ندارن

پس چطور حملات Sniff مبتنی بر HTTPS اتفاق می افته ؟ ابزارهایی نظیر Bettercap و ...

پاسخ در 1398/02/08 توسط
آواتار محمد

پاسخ شما