LINUX.ORG.RU

История изменений

Исправление Aber, (текущая версия) :

Ты когда создаешь сайт с https ты генерируешь сертификат, после чего ты получаешь не только сертификат но и приватный ключ.
Клиенеты (брузеры) когда открывают твой сайт получают сертификат сайта, проверяют что он подписан доверенным CA (список основных CA предустановлен в барузерах).
Дальше клиент генерирует ключ сессии, шифрует его используя твой сертификат (aka публичный ключ) и отправляет его на сервер. На сервере лежит приватный ключ который позволяет расшифровать сообщения зашифрованные публичным ключом. Веб сервер получает ответ от клиента и расшифровывает его посредство приватного ключа, теперь и у клиента и у сервера есть ключ шифрования, и вот он используется для семитысячного шифрования трафика (надеюсь я тут нигде не ошибся).

Т.е. если ты никому не отдал приватный ключ, а держишь его в секрете (о чему везде пишут) то никто не может расшифровать трафик с твоим сервером. Но условное CIA/ЦРУ или NSA/АНБ может устроить MITM атаку с прозрачным прокси, потому как каким-нибудь доверенным CA они владеют и могут подписать любой сертификат, тут главное чтоб клиент не догадался что он соединен с прокси а не с твоим сайтом.

Исправление Aber, :

Ты когда создаешь сайт с https ты генерируешь сертификат, после чего ты получаешь не только сертификат но и приватный ключ.
Клиенеты (брузеры) когда открывают твой сайт они получают сертификат сайта, проверяют что он подписан доверенным CA (список основных CA предустановлен в барузерах).
Дальше клиент генерирует ключ сессии, шифрует его используя твой сертификат (aka публичный ключ) и отправляет его на сервер. На сервере лежит приватный ключ который позволяет расшифровать сообщения зашифрованные публичным ключом. Веб сервер получает ответ от клиента и расшифровывает его посредство приватного ключа, теперь и у клиента и у сервера есть ключ шифрования, и вот он используется для семитысячного шифрования трафика (надеюсь я тут нигде не ошибся).

Т.е. если ты никому не отдал приватный ключ, а держишь его в секрете (о чему везде пишут) то никто не может расшифровать трафик с твоим сервером. Но условное CIA/ЦРУ или NSA/АНБ может устроить MITM атаку с прозрачным прокси, потому как каким-нибудь доверенным CA они владеют и могут подписать любой сертификат, тут главное чтоб клиент не догадался что он соединен с прокси а не с твоим сайтом.

Исходная версия Aber, :

Ты когда создаешь сайт с https ты генерируешь сертификат, после чего ты получаешь не только сертификат но и приватный ключ.
Клиенеты (брузеры) когда открывают твой сайт они получают сертификат сайта, проверяют что он подписан доверенным CA (список основных CA предустановлен в барузерах).
Дальше клиент генерирует ключ сессии, шифрует его используя твой сертификат (aka публичный ключ) и отправляет его на сервер. На сервере лежит приватный ключ который позволяет расшифровать сообщения зашифрованные публичным ключом. Веб сервер получает ответ от клиента и расшифровывает его посредство приватного ключа, теперь и у клиента и у сервера есть ключ шифрования, и вот он используется для семитысячного шифрования трафика (надеюсь я тут нигде не ошибся).

Т.е. если ты никому не отдал приватный ключ, а держишь его в секрете (о чему везде пишут) то никто не может расшифровать трафик с твоим сервером. Но условное CIA/ЦРУ или NSA/АНБ может устроить MITM атаку с прозрачным прокси, потому как каким-нибудь доверенным CA они владеют и могут подписать любой сертификат.