¿Los datos SSL siguen cifrados si hay un error de certificado?

11

Si hay un error de certificado en un sitio web (como que el dominio no coincide con lo que se indica en el certificado) y sigo viendo el sitio de todos modos, ¿los datos de la conexión HTTPS siguen cifrados?

Tengo entendido que el certificado SSL simplemente valida la identidad del propietario del sitio para que usted (el cliente) pueda estar seguro de que está enviando datos a una empresa legítima.

¿Es esa la única función que proporciona el certificado o también desempeña un papel en el proceso de encriptación de modo que un error como el anterior provocaría la omisión de la encriptación?

pensamiento silencioso
fuente

Respuestas:

18

Los datos aún están encriptados. Sin embargo, el punto final no ha sido verificado. Por lo tanto, los datos son "seguros", ya que están encriptados a través del cable. Sin embargo, es posible que se lo envíe a la persona incorrecta si el certificado no coincide correctamente ...

Brian Knoblauch
fuente
3

¿Cuál es el valor de una conexión encriptada si no ha identificado a la parte en el otro extremo?

Supongamos que desea enviar la información de su tarjeta de crédito a Amazon. Digamos que tiene una conexión segura, pero no sabe si se trata de Amazon o de un atacante que se hace pasar por Amazon. Claro, podría enviar la tarjeta de crédito, y estaría encriptada, pero no tiene idea de qué parte posee las claves de los datos encriptados. Entonces el cifrado tiene un valor mínimo.

Sin embargo, lo protegerá contra un atacante puramente pasivo. Nadie que simplemente esté escuchando podría descifrar los datos.

David Schwartz
fuente
0

El certificado se utiliza para un intercambio cifrado asimétricamente de una clave simétrica que se utilizará para el cifrado.

Intenta resolver el problema secreto compartido. Por lo tanto, un certificado SSL que ha caducado o que proviene del dominio incorrecto (está acuñado para www.acme.com y se está utilizando en www.roadrunner.com), o la CA que lo firmó no es una de las raíces confiables CA's, entonces obtienes un error.

Esto significa que si alguien estaba falsificando el sitio y usted lo acepta, entonces podría tener el control de la clave simétrica utilizada para realizar el cifrado real de la sesión. Entonces, aunque todavía puede estar encriptado, alguien puede conocer la clave de descifrado.

geoffc
fuente