SSL/TLS是將對稱密碼、公鑰密碼、單向散列函數、消息認證碼、偽隨機數生成器、數字簽名等技術相結合來實現安全通信的。此外, SSL/TLS還可以顺利获得切換密碼套件來使用強度更高的密碼算法。

我們在使用web瀏覽器時於並不會意識到 SSL/TLS的詳細工作過程,但我們可以知道,為了保證安全性, SSL/TLS採用了非常複雜的機制。

SSL/TLS是我們經常使用的一種密碼通信方式,但並不是說只要使用 SSL/TLS就是絕對安全的。

不要誤解證書的含義

在SSL/TLS中,我們能夠顺利获得證書對服務器進行認證。然而這裏的認證,只是確認了通信對象是經過認證组织確認的服務器,而並不能確認是否可以和該通信對象進行安全的在線購物交易。說得更直白些,就是即便對方擁有合法的證書,也不代表你就可以放心地發送信用卡號。因為僅顺利获得 SSL/TLS是無法確認對方是否在從事信用卡詐騙的。

此外,認證组织所進行的本人身份確認也分為不同的等級,需要仔細確認一下認證组织的

業務規則。

密碼通信之前的數據是不受保護的

SSL/TLS僅對通信過程中的數據進行保護,而無法保護通信前的數據。

例如,當 A在公司訪問一個受 SSL/TLS保護的網站時, A向該網站發送的個人信息是受到保護的,對通信線路進行竊聽的E無法獲取這些個人信息。

然而,如果當 A在瀏覽器中輸入這些信息時,背後有人偷看的話,SSL/TLS就無法保護A的個人信息了。

密碼通信之後的數據是不受保護的

SSL/TLs也無法保護通信之後的數據。

例如, A向B網上書店發送了自己的信用卡號。在通信過程中,信用卡號是受到SSL/TLS保護的。然而,當信用卡號發送到B書店的服務器之後情況又如何呢?對於B書店如何管理所收到的信用卡號,SSL/TLS是完全無法得知的。

如果B書店將客戶的信用卡號隨意存放在web服務器上的話,就會發生客戶信用卡號泄露的風險。

綜上,“由於使用了SSL/TLS,因此可以放心地發送信用卡號”這種說法把情況過分簡化了。嚴格來說,應該是“由於使用了SSL/TLS,因此信用卡號不會在通信過程中被第三方獲取”,而信用卡號在通信之前被偷窺,以及在通信之後被竊取,或者被網上書店本身惡意使用等可能性還是存在的。