Dữ liệu SSL vẫn được mã hóa nếu có lỗi chứng chỉ?

Nếu có lỗi chứng chỉ trên một trang web (chẳng hạn như tên miền không khớp với những gì được nêu trong chứng chỉ) và dù sao tôi vẫn tiếp tục xem trang web, liệu dữ liệu qua kết nối HTTPS có còn được mã hóa không?

Hiểu biết của tôi là chứng chỉ SSL chỉ xác nhận danh tính của chủ sở hữu trang web để bạn (khách hàng) có thể tin tưởng rằng bạn đang gửi dữ liệu đến một công ty hợp pháp.

Đó có phải là vai trò duy nhất mà chứng chỉ cung cấp hoặc nó cũng đóng vai trò trong quá trình mã hóa sao cho một lỗi như lỗi ở trên sẽ khiến mã hóa bị bỏ qua?

Dữ liệu vẫn được mã hóa. Tuy nhiên, điểm cuối chưa được xác minh. Vì vậy, dữ liệu "an toàn" ở chỗ nó được mã hóa qua dây dẫn. Tuy nhiên, bạn có thể gửi nhầm người nếu chứng chỉ không khớp đúng ...

Giá trị của một kết nối được mã hóa là gì nếu bạn chưa xác định được bên nào ở đầu bên kia?

Giả sử bạn muốn gửi thông tin thẻ tín dụng của mình đến Amazon. Giả sử bạn có kết nối an toàn, nhưng bạn không biết liệu đó là Amazon hay kẻ tấn công đang mạo danh Amazon. Chắc chắn, bạn có thể gửi thẻ tín dụng và nó sẽ được mã hóa, nhưng bạn không biết bên nào giữ chìa khóa cho dữ liệu được mã hóa. Vì vậy, mã hóa có giá trị tối thiểu.

Tuy nhiên, nó sẽ bảo vệ bạn trước một kẻ tấn công thụ động hoàn toàn. Không ai chỉ đơn thuần là lắng nghe có thể giải mã dữ liệu.

Chứng chỉ được sử dụng để trao đổi mã hóa bất đối xứng của khóa đối xứng được sử dụng để mã hóa.

Nó cố gắng giải quyết vấn đề bí mật được chia sẻ. Vì vậy, chứng chỉ SSL đã hết hạn hoặc đến từ tên miền sai (được lấy từ www.acme.com và nó đang được sử dụng tại www.roadrunner.com) hoặc CA đã ký tên không phải là một trong những root đáng tin cậy CA, sau đó bạn nhận được một lỗi.

Điều này có nghĩa là nếu ai đó đang giả mạo trang web và bạn chấp nhận nó, thì họ có thể kiểm soát khóa đối xứng được sử dụng để thực hiện mã hóa thực tế của phiên. Vì vậy, trong khi nó vẫn có thể được mã hóa, ai đó có thể biết khóa giải mã.