Рассмотрим следующие утверждения:
Все центры сертификации, которым доверяет ваш веб-браузер, отказывают в выдаче сертификата
examplebank.com
злоумышленнику без подтверждения права собственности на домен.Ключи подписи всех органов надежно хранятся, и посторонние лица не могут выдать сертификат себе. (См. Недавний взлом Comodo .)
Ваш веб-браузер правильно проверяет, выдан ли SSL-сертификат сервера действительным центром сертификации, не отозван, действителен ли для использования серверами и выдан ли для
examplebank.com
домена.Нет активной вредоносной программы или ошибки браузера, из-за которой такие проверки можно обойти.
Вы всегда открываете
https://examplebank.com
, запрашивая SSL явно, а не полагаетесь на веб-сайт, чтобы перенаправить вас.Вы на самом деле читаете сообщения об ошибках SSL, а не слепо щелкаете Ignoreпри открытии веб-сайта.
Если все вышеперечисленное верно, HTTPS предупредит вас, что вы пытались подключиться к поддельному веб-сайту. Однако HTTPS не может обойти перенаправления более низкого уровня (например, спуфинг examplebank.com
по DNS или /etc/hosts
), поэтому, если вы проигнорируете предупреждения, ваши данные будут направлены злоумышленнику, а не в реальный банк.
В заключение, да, это опасно.
В ответ на отредактированный вопрос:
Если вы используете простой HTTP, вы облажались.
Если вы используете HTTPS, вы получите большое красное предупреждение (см. Первую часть ответа).
Каждый «сертификат» имеет пару ключей RSA (иногда DSA, ECDSA). Открытый ключ пары является частью сертификата, а закрытый ключ заблокирован на веб-сервере и никогда не отправляется по сети. Оба ключа необходимы для успешного завершения рукопожатия TLS / SSL.
Если злоумышленник предоставит сертификат, но не имеет соответствующего закрытого ключа, он не сможет расшифровать любой трафик, проходящий через TLS. В Википедии есть описание рукопожатия TLS .