配套科普 https 加密 简单直白的常识

先了解几个角色

用户(指你电脑的浏览器或者其他客户端，不是指你这个人）
中间人（为了到达网站服务器 需要经过的所有 电信设备）
网站服务器 (顾名思义)

HTTPS 的作用是
1. 加密传输的内容，导致 中间人 无法知道 用户 和 服务器之间在说什么 (自然也就无法插入广告 或者 更换 内容 比如我要下载 网易云音乐 但是中间人可以给你换成百度全家桶或者其他病毒软件）
2. 让用户知道 你访问的 网站真的就是你要访问的那个网站 不是另外一个人冒充的。(浏览器是不是经常告诉你网站不安全 不让你访问）?

第一个很好理解 第二个需要解释一下。

好比 你是老板 你要招聘一个员工
来了2个人
一个人拿了 一张 真的斯坦福大学的 证书
一个人拿了 一张 我自己家里蹲大学的 证书
你录取那个人呢？ 自然是前面一个人。

为啥？ 因为你知道 真的斯坦福大学 是一个牛逼的学校 你信任他 自然 这个大学签发的证书就是值得信任的。
为啥你不信第二个？ 因为你没听说过 "我自己家里蹲大学" 所以你不信任这个组织或者个人签发的证书。

https 的信任关系也是如此
你安装的操作系统里 默认安装了 很多 rootCA (每个 rootCA 都是一个值得信任的签发证书的组织， 中国的除外）
一个正常的网站需要接受这些组织的审查和交钱才能得到 这些组织签发的证书 （你浏览器上会出现绿色的 https标志）
如果有人拿这个签发的证书干坏事 这些组织还能撤回，有钳制能力。

那么一般来说 正规运行的网站会出钱去 让这些签发组织审查自己的网站 然后得到签发的证书。
而一个钓鱼假冒的网站 需要去模仿一个正规网站 它就通过不了 认证。 他要么是没有证书 要么是自己签发给自己的证书。
一旦浏览器 看到这种自己签发给自己的网站就会告警 说不安全。

这就是 https 保护你的方式。

--------- 骗子如何得逞？ ---------
利用无知的用户。 无知的用户是计算机系统里最大的漏洞！ 这种方式有一个好听的名字 叫做 社会工程学。

由于破解 https 是非常困难的。 但是欺骗无知的用户确很简单
好比我拿着一粒毒药 对无知的用户说 请吃下对你有好处 还是免费的。 但是你的嘴巴有一个自动防御机制会告诉你我这毒药有毒，请你不要相信它 是它误报报了
直接吃下就好。 （其实大多数人都是上面说的无知用户， 电脑弹出一个警告，看也不看 直接点击同意 或者 OK。 即使弹出非常严重的警告，无知的用户想的是怎么跳过这个警告 而不是 不再吃这个毒药）

骗子的毒药是什么就是 骗子想办法骗你 安装他的 rootCA。（安装以后，你的电脑会相信骗子签发的所有证书 骗子或者国际组织的信任程度）

安装后 骗子可以知道你在看什么 也能伪装成其他网站。


不是骗子 但是 却和骗子一样的网站

1.最大众的就是 火车票 12306 这个网站
12306 号称耗资 4KW 却拿不出 几个钱去国际组织哪里拿 他们签发的证书 而是自己给自己签发了证书。 然后要你安装他们的 rootCA 和骗子一个德行。

2.各种 公司 企业的内部网站。
由于是对内的 所以一般懒得去搞一个证书 直接让员工安装 公司的rootCA。 由于你的电脑是公司发的 安装公司的 rootCA 也属于正常

懂了。。谢谢

公司内部网站，尤其是OA和邮件服务器，确实没啥必要装国际认证的证书。

但12306为啥不做呢？貌似有人科普过，说确实没啥问题？

谢谢科普。

那么怎么检查已经安装的证书以及卸载假证书呢?

感谢科普

不错， 学习下

证书都是真的
只是拥有着是否值得信任

一般来说
不要安装 除了银行以外的任何证书就没问题

万一不小心装了怎么办？卸载浏览器重装？

自己建的服务器自己玩可以

楼主文笔可以，朴实生动

支付宝有证书吗？

个人网站现在随便买个域名 也能用 https

这要看浏览器

比如 IE, Google Chome
他们自己不带信任库，是信任 操作系统的设置

另外比如 firefox
它有自己的信任库 你需要设置它自己的信任库。
删除我不知道信任库是否会留在哪里。

国产浏览器是否自带私货信任库我不知道。 我也不用

你可以google 百度
"删除 cnnic 证书"作为例子来删除你要删的东西
但是千万必要乱删。 删坏了 正常网站也无法访问了。 证书有一层一层的信任关系 删断了就不好办了

最好的方法是找机会重装系统。

本帖最后由 beterhans 于 2017-4-26 18:29 通过手机版编辑

Posted by: Meizu PRO 5
当然可以随便买证书，证书就像身份证，是合法公民就能申请。但是你绝不可能跟公安机关说，我是马云，给我弄张马云一样身份证号的身份证来。

支付宝 使用的是正规国际组织签发的证书！

Posted by: Meizu PRO 5
https保证的是传输过程数据的不可泄密性(李四无法偷听你和张三的对话)和不可伪造性(李四没法冒充张三和你说话)。至于张三到底叫不叫张三，这个是证书颁发机构的信用度来保证的，申请时有严格的审核制度，比如你去申请说给我弄张taobao.com的证书，颁发机构马上就叫你滚了。

怎么让访问京东都是走https呢？

手工输入 https://www.jd.com/

我是想在任何情况下都是https，因为经常有返利链接的京东链接，点了都是没有https开头的，麻烦死了。

https://www.jd.com/

手机用国产，浏览器用国产，输入法用国产，路由器用国产，真的，默哀。你不管哪天突然丢了什么东西都不足为怪。。。

mkmk

科普 不错

谷歌都要自己撸袖子上，自己发证书了，我大铁道部领先谷歌N年。:D

我的是chrome+电信宽带，上次上不了联通官网，后来上网一查，要添加win7里的某个证书，当时也没多想，就添加了（从win7某个根目录下找到的证书），这应该没问题吧？

WIN+R运行certmgr.msc管理证书

所以从来都是用12306的手机app买票

能不能讲一讲https在seo方面的优劣？

mark

chrome和firefox可以装扩展。https everywhere

最近建站，letsencrypt可以免费申请https证书，三个月有效期，可以用脚本自动续期，有了绿色小对勾，感觉网站一下高大上了很多

https://letsencrypt.org/

iOS 10的根证书列表
https://support.apple.com/zh-cn/HT207177

mark

国内的ca100%不安全
12306这种政府官网不能用国外的ca，所以只能自己搞，所以这类网站的https就是个笑话

本帖最后由 兆悲 于 2017-4-27 08:36 通过手机版编辑

https主要还是防钓鱼

HTTPS还要用SSL将应用层的数据加密的吧
顺道看了下12306的证书，签名哈希算法还是sha1的，公钥才1024位，证书有效期5年。他们的破证书服务器好升级更新CSP了
你再看看人家taobao，签名哈希算法是sha256，公钥2048位，证书有效期1年，1年换一次私钥，呵呵

[本帖最后由 疾风之狼 于 2017-4-27 14:24 编辑]

我把360 腾讯 金山 百度等等证书都加入到不信任列表里了
这样全家桶就装不上了

学习了兰州

多谢楼主科普

楼主，我有一点没看懂，既然是用户自己也能安装证书，那电信到底是怎么个劫持法？难道是类似黑客的做法强行修改用户电脑上的文件？

http://club.tgfcer.com/viewthread.php?tid=7305542&extra=&page=1

这贴拿出来再看真是让人233

学习了

。。。。。。。。。

本帖最后由 momogrant 于 2017-12-12 07:19 通过手机版编辑

https://liwei2.com/2015/11/27/378.html看这个吧，一个脚本实现了