※ 引述《Shiaobin (小斌)》之銘言： : 逢甲大學單一簽入首頁 : http://bb.fcu.edu.tw/webapps/login/ : 有在用 bb 系統的應該都有下載過「逢甲大學根憑證」吧。這個根憑證下載 : 其實很奇怪啊；仔細看下載網址，是 https 開頭。 https 需要裝根憑證才能連線， : 也就是說想要下載根憑證就要先安裝根憑證。 : 這個大概就跟 WinRAR 安裝檔用 rar 壓縮起來一樣可笑吧？ : 不過，好像沒什麼人在意這個。是我太無聊嗎…… [以下頗無趣, 沒興趣者請end] what is https? https: Hypertext Transfer Protocol Secure, 他是利用SSL/TLS進行網站驗證及連線加密功能, 先說說public key加密方式.. 每個個體都有兩把鑰匙.. 一把藏起來 一把公開.. 就如有一個 信箱 與 信箱鑰匙 .. 信箱鑰匙藏起來(private key), 信箱地址公開(public key).. 我要丟秘密訊息給對方 就用對方的public key鎖起來..(丟到對方的信箱) 只有擁有plivate key(信箱鑰匙)的人才可以解開... 這是public key的加密方式.. SSL是利用public key演算法進行加密驗證與連線的通訊協定.. 連線流程大概如下括號內是白話說法: 1) 從網站取得網站的public key (知道逢甲大學信箱的位置) 2) 驗證public key是否正確, 若無法驗證 瀏覽器會產生警告(逢甲警告三次) * (驗證這個信箱是不是真的屬於逢甲大學) 3) 送出自己的public key給server ** (告訴逢甲大學我阿西毛的信箱位置) 4) 協調session key, 可能是用對方的public key傳送或用Diffie-Hellman協調 (把要說的話丟到對方信箱, 來回交談, 協調出連線用的key, 每次連線都不同) 5) 利用session key進行加密連線 (兩邊都利用剛剛協調出來的key進行連線加解密) 詳細的通訊協定 這張圖.. http://zh.wikipedia.org/zh-tw/ File:Ssl_handshake_with_two_way_authentication_with_certificates.png 缺少憑證只會讓上面 2 和 3 有 * 的部分出問題, 可是不至於會妨礙連線.. * 驗證public key是否正確是驗證public key的憑證, 一般public key的憑證是由 公正單位發行, 一般就是要錢, 學校為了節省這不必要的支出, 所以自行針對 public key簽發憑證, 若未事先安裝該憑證, 便無法驗證public key與網站是否遭偽造, 換句話說, 可能被假網站釣魚釣走... **若自己有public key與憑證, 則會發送自己的public key, 但若沒有(一般都沒有), 便隨機產生一個public key, 並傳送, 如此一來主機便無法驗證使用者真偽, 所以說現在SSL都只有做一半, 另一半仍利用id/pw驗證.. 資工系有修資訊網路安全還看不懂的.. 去找TJ Liu或JS Lee磕頭謝罪 = =+ 特別是相信沒有根憑證就不能進行SSL連線的.. 別再相信沒有根據的說法了... 如果如原po所說, 大家是怎麼裝的? lol~ 其他 看不懂有興趣的請推文或來信... 為什麼我懂.. 因為我的論文會跟這個有關... = =; by ASimon --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.70.81.141