我住在一家有免费公共无线网络的酒店。要获得 Internet 访问权限,我必须访问一个网页并同意条款和条件。这个网站有一个安全证书,但是一年多以前就过期了。
显然这意味着我无法验证 Wi-Fi 登录页面的身份。如果我继续访问该页面,这是否会以任何方式损害其他 HTTPS 网站的安全性(例如通过启用MITM 攻击)?
我已经通过公共 Wi-Fi 阅读了有关 HTTPS 的其他主题,如果我验证 URL 并且仅在网站的证书受信任的情况下继续进行,似乎没问题。但是登录页面上的过期/不受信任的证书是否会带来任何额外的安全风险?
因此,您被重定向到具有过期证书的强制门户页面。
从理论上讲,这只会使您通过此特定连接传输的数据面临风险,即。接受规则并最终接受您的个人或付款数据(如果您必须提供)。事实上,强制门户根本不必使用 https 连接,您可能不会注意到它。
它不会为您已经在使用公共的、可能高度不安全的网络及其所有后果这一事实带来额外的风险。
请注意,从您建立连接的那一刻起,甚至在您打开浏览器并被重定向到门户网站之前,您就处于不安全的网络中。
过期的证书只是意味着证书没有按应有的方式更新。证书更新是针对私钥在不知情的情况下被盗的一种预防措施。定期更换证书会降低被盗密钥的有用性。但是可以任意选择证书的到期日期。有人窃取证书以冒充证书持有者的风险随着时间的推移而增加,但这种风险并不会在证书到期的那一天突然飙升。
这意味着证书过期警告是网站所有者方面存在不良安全做法的标志,但是当证书检查正常并且您选择接受它时,加密与有效证书一样强大。
无论证书如何,HTTPS 在公共 WiFi 上都不是特别安全,这在一定程度上要归功于Moxie Marlenspike先生的 SSL Strip。
除非受到破坏,否则过期和未过期的证书都不会降低安全性。证书的安全强度以散列类型+大小、密钥算法+密钥大小和验证能力来衡量。如果日期已过期 - 它不会使已签名的 CA 证书过期,因此:
你只有一个过期警告。这很不方便,但还可以。如果证书保持不变 - 没关系。如果证书被直接或间接泄露,无论到期日期如何,它都会变成无用的垃圾。