Se houver um erro de certificado em um site (como o domínio que não corresponda ao declarado no certificado) e eu continuar visualizando o site mesmo assim, os dados da conexão HTTPS ainda serão criptografados?
Meu entendimento é que o certificado SSL simplesmente valida a identidade do proprietário do site para que você (o cliente) possa ter certeza de que está enviando dados para uma empresa legítima.
Essa é a única função que o certificado fornece ou também desempenha um papel no processo de criptografia, de modo que um erro como o acima faça com que a criptografia seja ignorada?
Qual é o valor de uma conexão criptografada se você não identificou a parte do outro lado?
Digamos que você queira enviar suas informações de cartão de crédito para a Amazon. Digamos que você tenha uma conexão segura, mas não sabe se é para a Amazon ou para um invasor que está representando a Amazon. Claro, você poderia enviar o cartão de crédito, e ele seria criptografado, mas você não tem idéia de qual parte detém as chaves para os dados criptografados. Então, a criptografia é de valor mínimo.
No entanto, ele irá protegê-lo contra um invasor puramente passivo. Ninguém que esteja meramente ouvindo poderia decifrar os dados.
O certificado é usado para uma troca criptografada assimetricamente de uma chave simétrica a ser usada para a criptografia.
Ele tenta resolver o problema secreto compartilhado. Portanto, um certificado SSL que expirou ou está no domínio errado (ele está cunhado para www.acme.com e está sendo usado em www.roadrunner.com) ou a CA que o assinou não é uma das raízes confiáveis CA, então você recebe um erro.
Isso significa que se alguém estiver fingindo o site e você o aceitar, ele poderá estar no controle da chave simétrica usada para fazer a criptografia real da sessão. Então, embora ainda possa ser criptografado, alguém pode conhecer a chave de descriptografia.
Tags ssl ssl-certificate