Я сейчас путешествую, поэтому много читаю о безопасном просмотре в незащищенных публичных сетях. Насколько я понимаю, если вы используете HTTPS и ваш браузер указывает (например, нажимая кнопку слева от адресной строки в большинстве браузеров), что сертификат подписан доверенным органом, то вы в безопасности и знаете, что находитесь на нужном сайте. Я хотел узнать, есть ли способ подделать тот факт, что сертификат был подписан. Я задаю этот вопрос, потому что не совсем понимаю процесс проверки того, что сертификат подписан должным образом. Я предполагаю, что ваш компьютер должен выйти в Интернет, чтобы проверить действительность сертификата. В этом случае может ли взломанный DNS отправить вас на поддельную версию сайта CA и сказать, что сертификат является законным, даже если это не так? Есть ли другой способ подделать это?
решение1
Ключи, которые используются для проверки сертификатов, уже установлены на вашем компьютере. Если вы используете Windows, вы можете просмотреть их с помощьюМенеджер сертификатов. Если вы развернете «Доверенные корневые центры сертификации», вы увидите ключи, хранящиеся на вашем компьютере.
Поэтому взломанный DNS не может переопределить эти ключи. Если вам интересно, как сертификаты вписываются в общую картину, вы можете прочитать оцепочка доверия.