1. CA是什么?
数字证书认证机构(英语:Certificate Authority,缩写为CA),也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。(来自维基百科查看链接)
CA就是一个发证书的组织,一个上网时的第三方公司或组织。
2. https:// 是什么?
超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。这个协议由网景公司(Netscape)在1994年首次提出,随后扩展到互联网上。(来自维基百科 查看链接 )
简而言之
当你浏览某个网站时,你和那个网站必然要传许多数据,网站要向你传页面信息,而你可能传密码什么的。而你与网站之间的联系有许多步骤 如图
OSI 7层模型
当你使用http时,不法分子就可以轻易的在任意一个步骤上窃取数据。然后1994年,网景公司(及后来的Mozilla)提出了https。
https就是把你的数据加密了,再进行传输。而且https协议是架构在应用层的(及上图OSI模型的最高层),所以理论上,在正确使用时,是可以保证你不被不法分子监听或被中间人攻击。
证书是用来干嘛的呢?
证书包括一个公钥和一个私钥,客户端(就是你的浏览器)在一系列操作后,生成一个随机值(Hash值),并用公钥(相当于一把锁)进行加密,然后发送给服务端,服务端使用私钥(相当于一把钥匙)进行解密,得到随机数,并以之作为私钥,这样就有了一个只有客户端和服务端知道的私钥,双方便可以用这个私钥传输信息。
但这就一定安全吗?!!
不安全之一就是
服务端就不是什么好东西
是个钓鱼网站之类的
这就要看CA的审查了
不安全之二
CA不靠谱或者根本个不是好东西
这样就会带来中间人攻击MITM(维基百科 查看链接)
Wiki上的栗子
不良的CA可能会颁发中间人攻击用的CA证书,不法分子就可以借此发动攻击。(案例查看链接 )
上面案例中的CNNIC便是出了名的流氓(链接 查看链接 )
同样不靠谱的还有沃通WoSign,Mozilla对沃通的失误进行过调查查看链接
虽然是几年前的事了,但还是不信任为妙。
(魔法上网一定要删CNNIC证书!!)
那么怎么在Android上吊销CNNIC以及沃通的证书呢(博主的小米8已经测试过不包含例子中的不靠谱CA 233)
打开手机-设置(下图均为EMUI 8.0 )
法一 设置-安全与隐私-更多安全设置-受信任的凭据
法二
直接搜CA
这样你就可以较安全的地上网了
(魔法上网一定要删CNNIC证书!!)
本文文章来自酷安 @RENEZHOU