SSL(現:TLS)鍵の交換の仕方の解釈があっているのでしょうか?また、質問もお願いしますm(__)m
以下で説明します。
A社:会員システムWEBサーバを提供
client:A社のシステムを利用するクライアント
CA:認証局
手順
1.A社はまず自社内で公開鍵と秘密鍵を作成
2.CAを選び申請し公開鍵だけを渡す。これでA社はサービスを公開できる状況
3.clientはA社のサーバとコネクション確率しログインページへ
4.A社は自分の公開鍵があるCAのIPアドレスをclientに配布
5.clientはA社が使用しているCAから公開鍵をもらう。(公開鍵は暗号通信後どうなっているか?)
6.client内で入力したログイン情報を公開鍵で暗号化してからA社サーバへ送る
7.A社は公開鍵で暗号化されたclientのログイン情報を受け取りA社だけが持っている秘密鍵で暗号を解く(複合っていうのかな?(笑))
結果ログイン情報は悪意のある第三者から盗聴されることはあっても、秘密鍵がない限りわからない。
質問
・5の()で囲んでありますが、暗号化通信が終わった後の公開鍵は削除されるのでしょうか?また、ログイン情報などを送るために残しておくものなのでしょうか?
・今年1月1日にSHA-1(暗号方式と捉えています。)の廃止というものを聞いております。これは鍵を作成する際のことを言っているのでしょうか?
・なぜわざわざCAを経由しているのでしょうか?A社が公開鍵を送ればいいと思うのですが…(これについては下記で考察として書いています。)
考察(質問も含まれています)
恐らくですけど、本当にそのA社のサーバであるか確認するため。
例えば、A社のログインページの時に本当にそのページはA社のものなのかというのを確認するためですか?
悪意のある第三者がA社のシステムのログインのページのリンク先を変えても、これにより守られると考えていいのでしょうか?
A社のクライアントのログイン情報を盗むため非常によく似た悪意のあるサイトを作っている第三者(Bさん)が
A社が登録していないCAにSSLの申請したとします。
clientはそこにアクセスしてもCA側はBさんの正しいサーバですと返してるだけでわかりません。このようなことは実際に起きているのでしょうか?
よろしくお願いしますm(__)m
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/02/23 04:35
2016/02/23 04:47
2016/02/23 11:21
2016/02/23 19:46
2016/02/23 20:02