關於https中的ssl證書，伺服器發往客戶端的信息是安全的嗎？ ?

12-29

關於https中的ssl，我看很多介紹ssl的都說客戶端和伺服器之間的握手過程首先採用非對稱加密的方法來交換信息，然後產生會話密鑰。這個會話密鑰是個對稱密鑰。之後的客戶端和信息交互用的就是這個會話密鑰。這個會話密鑰會頻繁的換，但某一次的信息交互被別人截獲不就泄密了嗎？
用對稱密鑰就跟用http差不多了，這會安全嗎？
我想的是可能客戶端發往伺服器的信息除了用這個會話密鑰加密之外外面還會用那個不對稱密鑰中的公開密鑰再加密。這樣只有伺服器可以解密，這個是安全的。但伺服器發往客戶端的信息也會有所謂的公開密鑰？客戶端中也有它自己的私有密鑰？還是直接用會話密鑰加密了事。這樣伺服器發往客戶端的信息就不安全了。

客戶端是沒有證書的，也就沒有公鑰和私鑰。

SSL握手階段，伺服器把證書傳輸給客戶端，同時也就傳輸了公鑰（公鑰是證書的一部分）。

由客戶端來對這個證書進行有效性認可，再由這個客戶端來生成對稱密鑰。

對稱密鑰用伺服器證書中的公鑰加密後，傳回給伺服器。只有伺服器才能解密這個信息，也就只有伺服器才知道你的對稱密鑰。

只要這個SSL連接沒有關閉，後續的所有數據，無論是客戶端發出的還是伺服器發出的，均會使用這個對稱密鑰加密。

對稱加密演算法中，依賴的是密鑰的保密性，只要密鑰沒有被泄露，對稱加密的結果被截獲也沒有什麼意義。而密鑰是用公鑰加密的，只能由伺服器解開。

===================================

所以在SSL連接沒有建立的時候，伺服器給客戶端發的可以被截獲的數據僅有證書，沒有其他的數據。其他的數據都要等SSL連接建立之後加密傳輸。

所以https的證書加密還是安全的，在沒有私鑰的情況下不存在泄露的可能。

瀉藥。

題主既然知道非對稱加密，那麼就應該知道非對稱加密演算法下，公鑰加密的數據只能用私鑰來解密。

一個 HTTPS 伺服器的公鑰是公開的，任何人都可以獲得（也就是 HTTPS 伺服器證書...的一部分），那麼在交互的時候 client 生成一個對稱加密的密鑰，然後使用 server 的公鑰進行加密然後發給 server。OK，這個加密後的數據是絕對安全的，因為只有 server 才能解密這段數據，有人截獲了這段數據也不能解密。所以這個對稱密鑰就是安全的。

謝邀。

1、首先要明確一件事情，目前基本所有的https基本全部是認證伺服器端的，而不會認證客戶端。極少數情況下，如支付寶的數字證書就是認證客戶端的情況。

2、基於第1點，客戶端僅會獲得伺服器端發送過來的公鑰（存在於證書中）。私鑰僅在伺服器端有（要保護好私鑰哦）。

3、非對稱加密的安全性就在於私鑰的隱秘性，公鑰只是用來認證的。

4、會話過程使用對稱加密的主要原因是：性能。非對稱加密的計算量太大。

5、會話過程中https數據是通過對稱加密密鑰加密的，截獲了也無法解析。https是端到端的，端與端之間是加密的。

https設計的初衷是防止中間人攻擊和可信通信，其中為了防止中間人攻擊，https使用了公鑰密碼學中的證書技術來達到對伺服器的認證，大概就是客戶端和伺服器端握手之後，客戶端得到伺服器發來的證書和公鑰，然後客戶端和一個上帝一般存在的叫做pki基礎設施的機構進行交互，這樣來驗證證書的真實性，如果驗證通過就說明該公鑰合法，是需要訪問的伺服器的公鑰，這就實現了對伺服器進行認證，杜絕了釣魚網站的偽裝。

之後客戶端使用這個公鑰和伺服器交互一段信息（該通信此時已可以防止竊聽），使得伺服器端和客戶端得到相同一段字元串，然後各自在本地運行一個確定性演算法得到兩個秘鑰，一個用來作對稱加密的秘鑰，一個作為消息驗證的秘鑰，就這樣實現了信道的可信通信。

至於為什麼不使用公鑰加密直接加密網頁信息，是因為公鑰加密雖然很好用但是性能比不過對稱加密，全程公鑰加密會讓速度變得非常慢。

首先呢，前面是對的，就是說當客戶端和伺服器端相互認證過之後會產生一個對稱密鑰，使用這個對稱密鑰進行信息加密傳輸，而且這個對稱密鑰是經過了公鑰進行加密的，所以不用擔心在信息交互的過程中被別人竊取造成泄密，因為即使被別人獲取了，想要暴力破解這個對稱密鑰也是不可能的，是安全的。其實這個對稱密鑰就是把所傳輸的信息和私鑰經過加密演算法混合在一起的亂碼，所以伺服器接收的時候其實是已經獲知了客戶端的私鑰，再經過伺服器傳輸到客戶端的加密數據傳輸到客戶端的時候客戶端是可以通過對稱密鑰裡面的私鑰對信息進行解密從而獲取到信息的。由於整個過程都有強悍的公鑰進行加密，所以被破解和獲取信息是不可能的，即使全程被監控也不能獲取到有效的信息

你不得不了解的電子郵件伺服器SSL安全證書

一、為什麼企業郵件伺服器要安裝SSL安全證書？

郵件伺服器的安全問題最主要包含2個方面，一是如何防範垃圾和廣告郵件及詐騙、釣魚、勒索病毒郵件等問題，二是保障郵件賬號的安全以及郵件內容在傳輸過程中不被非法竊取和篡改。而後者是往往被很多IT運維人員所忽略。

電子郵件伺服器SSL安全證書確保客戶端設備到郵件伺服器端數據傳輸為加密方式。

除非獲取SSL證書的私鑰，否則目前第三方無法解密數據（不包括舊版本SHA1加密方式，因為其密鑰太短）。

容易被窺探網路明文數據，被記錄郵箱用戶名/密碼的地方：

1. 無密碼的的公共WIFI，比如咖啡店/機場

2. 出差在酒店，無論有線/無線網路均可能抓包

3. 在其他商業合作夥伴會議室

4. 員工家庭網路（部分家庭網路設備採用弱密碼，弱加密方式）

抓包設備軟硬體不需要太多專業技術，個人可以通過網路購買到，可以輕易部署，並通過雲服務複製網路數據包。

二、企業郵件伺服器需要怎麼選擇SSL安全證書？

現在市場有各種各樣的SSL證書，讓人眼花繚亂，難以選擇。有自建的，有免費的，還有收費的，如果做出正確的判斷？

自建的SSL證書，即自建PKI系統頒發的SSL證書，因為沒有第三方認證，容易被假冒和偽造，存在安全風險。另外自簽SSL證書容易受到SSL中間人攻擊以及沒有可訪問的吊銷列表等缺點，我們不建議用戶使用自建的SSL證書。

免費的SSL證書，往往由第三方認可的機構頒發，但是「天下沒有免費的午餐」，免費的SSL證書的設備及瀏覽器的兼容性一般，甚至有些瀏覽器已經宣布不支持某些免費的SSL證書。還有一些組織頒發的免費SSL證書只支持少量域名或第2年就開始收費。

「一分價錢一分貨」，我們強烈推薦收費的國際認可權威機構的SSL證書。

三、靠譜郵件提供怎樣的SSL安全證書？

專業的人做專業的事，靠譜郵件專註郵件安全自2002年起，更懂郵件系統的安全配置和運維。我們提供國際認可的SSL安全證書，助力企業郵件伺服器更穩定，更安全。

1. 採用和靠譜企業郵箱/靠譜郵件日誌平台同廠商SSL證書。

2. 專業第三方SSL評測機構SSL LABS評級安全等級A

3. 該證書全球PC/手機各瀏覽器全兼容，包括Outlook等客戶端。

4. 靠譜工程師遠程安裝支持服務。

5. 靠譜郵件雲網關或者中繼合同期內客戶，只需在合同/訂購單公司蓋章後即可提供申請安裝證書，無需預付款，安裝部署後7天內付款。

6. 每年證書安裝配置需要重新配置並且重啟郵件服務，推薦最長為3年有效期的證書。

反正我抓包的時候看到一片片的加密數據包，我知道那是YouTube的視頻但是完全找不到特徵。

借地方求教如何讓室友能打開YouTube但是看不了視頻，由於YouTube默認HTTPS抓不到URL沒法寫規則，封埠又怕誤傷。環境是集體肉身翻牆，我能登錄路由器，總帶寬超低（上200+kbps，下1100+kbps），路由器QoS用的是令牌桶，不像國內傻瓜式的直接限速，因為我不是通信專業的試著搞了一下完全搞不懂。