是什么阻止我重播SSL证书？

Question

假设我有google.com的SSL证书。我拦截它，用我自己的域名和公钥编辑证书，并使用它拦截google.com的所有流量。SSL证书中存在哪些机制来阻止我这样做？

Answer 1

当CA签名证书时，它们使用私钥加密包含证书目标主机名的散列。当客户端接收到证书时，他们使用CA的公钥解密哈希(该公钥被放入客户端)，并检查它是否与客户机计算的哈希匹配。如果哈希不匹配，则验证失败，应该中止连接。

• 如果修改证书以更改主机名，则哈希将不匹配
• 如果你再试着签证书的话。将散列替换为您自己的)，这样客户端就不会信任它，因为它不是由他们信任的CA签名的。
• 如果您试图为另一个域提供一个合法签名的证书，那么显然验证也会失败，因为域不匹配。

当然，上面的假设是客户端正确地验证证书，即不总是这样 案例。