使用參考資料
正常的流程
簡介
- 服務器的公鑰是公開的,私鑰是不公開的敲董。RSA對中的公鑰,一般由CSA之類的認證機構頒發(fā).所以這也是為什么
Charls安裝后的證書是不被信任的原因. - 客戶端先向服務器取得公鑰
- 然后用公鑰加密自己的私鑰連同自己私鑰加密的請求一并發(fā)送給服務器葫哗。
- 服務器使用自己私鑰解密得到瀏覽器的私鑰棚辽,使用客戶端的私鑰解密請求苍息。
- 再用瀏覽器的私鑰加密response發(fā)送回客戶端疾渴。
charles做的事
Charles做的事就是將第一步中申請的公鑰截獲,這里再次解釋了為什么Charles產生的證書要我們手動去更改他的信任.因為這就是一個中間人攻擊
中間人攻擊是先偽裝服務器向客戶端發(fā)送偽造的公鑰诅诱,從而取得客戶端的私鑰髓堪。這樣就完成的客戶端的解密。服務器端類似娘荡。
中間截獲
