Les données SSL sont-elles toujours cryptées en cas d'erreur de certificat?


11

S'il y a une erreur de certificat sur un site Web (tel que le domaine ne correspondant pas à ce qui est indiqué dans le certificat) et que je continue à afficher le site de toute façon, les données via la connexion HTTPS sont-elles toujours cryptées?

Ma compréhension est que le certificat SSL valide simplement l'identité du propriétaire du site afin que vous (le client) puissiez être sûr que vous envoyez des données à une entreprise légitime.

Est-ce le seul rôle fourni par le certificat ou joue-t-il également un rôle dans le processus de cryptage de sorte qu'une erreur comme celle ci-dessus entraînerait le saut du cryptage?

Réponses:


18

Les données sont toujours cryptées. Cependant, le point de terminaison n'a pas été vérifié. Ainsi, les données sont "sécurisées" en ce sens qu'elles sont cryptées sur le fil. Cependant, vous pourriez l'envoyer à la mauvaise personne si le certificat ne correspond pas correctement ...


3

Quelle est la valeur d'une connexion cryptée si vous n'avez pas identifié la partie à l'autre bout?

Supposons que vous souhaitiez envoyer vos informations de carte de crédit à Amazon. Supposons que vous ayez une connexion sécurisée, mais vous ne savez pas si c'est à Amazon ou à un attaquant qui usurpe l'identité d'Amazon. Bien sûr, vous pourriez envoyer la carte de crédit, et elle serait cryptée, mais vous ne savez pas quelle partie détient les clés des données cryptées. Le chiffrement a donc une valeur minimale.

Il vous protégera cependant contre un attaquant purement passif. Personne qui écoute simplement ne peut décrypter les données.


0

Le certificat est utilisé pour un échange crypté asymétriquement d'une clé symétrique à utiliser pour le cryptage.

Il essaie de résoudre le problème du secret partagé. Ainsi, un certificat SSL qui a expiré ou provient du mauvais domaine (il est fabriqué pour www.acme.com et il est utilisé sur www.roadrunner.com), ou l'autorité de certification qui l'a signé ne fait pas partie de la racine de confiance CA, alors vous obtenez une erreur.

Cela signifie que si quelqu'un simule le site et que vous l'acceptez, il peut alors contrôler la clé symétrique utilisée pour effectuer le chiffrement réel de la session. Ainsi, bien qu'il puisse encore être chiffré, quelqu'un peut connaître la clé de déchiffrement.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.