我可以在https受保护的连接上下载网页签名吗？

Question

假设Malory拥有一个官方网站，现在说她的生日是7月25日。我可以通过https连接到那个网站，SSL服务器的连接上写着“发布给Malory”。现在我想下载这一页作为证据，马洛里发表了。我知道她以后会删除或更改网站上的信息，我想抓住她做这件事。我可以从HTTPS连接中提取某种证书来表示：“亲爱的法院，Malory说她的生日是7月25日，我可以通过提供这个带有HTTPS签名的HTML文件(或类似的东西)来证明这一点”？

有方便的方法吗？我尝试了铬键“下载完整页面”，但它似乎没有保存任何类型的签名。

Answer 1

不是的。TLS --确保HTTPS安全的协议--不提供不可否认性。TLS连接的双方都知道用于批量数据加密和完整性验证的对称密钥(S)。任何一方都可以记录密钥(S)，然后在事实发生后，使用密钥更新加密和身份验证标记/ MACs，修改或捏造通过连接的所有通信量的记录。

对称密钥(S)是通过一个过程导出的，该过程确实涉及到一个只为一方所知的密钥--服务器与其证书中的公钥对应的私钥--但该私钥仅用于证明服务器的身份并确保对称密钥的交换。所有进一步的通信--您想要以一种不可欺骗的方式签名的实际流量--都使用对称密钥进行保护，双方都知道并且可以使用该密钥。

服务器的私钥不用于保护实际的消息通信，也没有任何标准的方法要求服务器这样做(尽管理论上可以用于此)。