Werden SSL-Daten bei einem Zertifikatfehler noch verschlüsselt?

11

Wenn auf einer Website ein Zertifikatfehler auftritt (z. B. wenn die Domain nicht mit den Angaben im Zertifikat übereinstimmt) und ich die Site trotzdem weiterhin ansehe, werden die Daten über die HTTPS-Verbindung weiterhin verschlüsselt?

Nach meinem Verständnis überprüft das SSL-Zertifikat lediglich die Identität des Website-Eigentümers, sodass Sie (der Kunde) sicher sein können, dass Sie Daten an ein seriöses Unternehmen senden.

Ist dies die einzige Rolle, die das Zertifikat bereitstellt, oder spielt es auch eine Rolle im Verschlüsselungsprozess, sodass ein Fehler wie der oben beschriebene dazu führen würde, dass die Verschlüsselung übersprungen wird?

stiller Gedanke
quelle

Antworten:

18

Die Daten sind weiterhin verschlüsselt. Der Endpunkt wurde jedoch nicht überprüft. Die Daten sind also "sicher", da sie über das Kabel verschlüsselt sind. Möglicherweise senden Sie es jedoch an die falsche Person, wenn das Zertifikat nicht richtig übereinstimmt ...

Brian Knoblauch
quelle
3

Was ist der Wert einer verschlüsselten Verbindung, wenn Sie die Partei am anderen Ende nicht identifiziert haben?

Angenommen, Sie möchten Ihre Kreditkarteninformationen an Amazon senden. Angenommen, Sie haben eine sichere Verbindung, wissen aber nicht, ob es sich um Amazon oder einen Angreifer handelt, der sich als Amazon ausgibt. Sicher, Sie könnten die Kreditkarte senden, und sie würde verschlüsselt, aber Sie haben keine Ahnung, welche Partei die Schlüssel für die verschlüsselten Daten besitzt. Die Verschlüsselung ist also von minimalem Wert.

Es schützt Sie jedoch vor einem rein passiven Angreifer. Niemand, der nur zuhört, kann die Daten entschlüsseln.

David Schwartz
quelle
0

Das Zertifikat wird für einen asymmetrisch verschlüsselten Austausch eines symmetrischen Schlüssels verwendet, der für die Verschlüsselung verwendet werden soll.

Es versucht, das gemeinsame geheime Problem zu lösen. Ein SSL-Zertifikat, das abgelaufen ist oder von der falschen Domain stammt (es ist für www.acme.com geprägt und wird unter www.roadrunner.com verwendet), oder die Zertifizierungsstelle, die es signiert hat, gehört also nicht zum vertrauenswürdigen Stamm CAs, dann erhalten Sie eine Fehlermeldung.

Das heißt, wenn jemand die Site vortäuscht und Sie sie akzeptieren, hat er möglicherweise die Kontrolle über den symmetrischen Schlüssel, der für die eigentliche Verschlüsselung der Sitzung verwendet wird. Während es möglicherweise noch verschlüsselt ist, kennt möglicherweise jemand den Entschlüsselungsschlüssel.

geoffc
quelle