TLS – چگونه یک گواهی SSL می تواند قدرت رمزگذاری را کاهش دهد
من یک صفحه از Digicert پیدا کردم که بسیار گیج کننده بود.
https://www.digicert.com/compare-and-buy-ssl-certificates/
در بخش "مشخصات فنی" ، آن را "رمزنگاری 256 بیت متقارن" ذکر شده است 
به نظر من، گواهی SSL تنها برای تأیید هویت سرور استفاده می شود. قدرت رمزگذاری مربوط به پیکربندی سرور است.
به عنوان مثال، من چند CipherSuites را لیست میکنم:
TLS_ECDHE_ ECDSA _WITH_AES_128_GCM_SHA256
TLS_ECDHE_ RSA _WITH_AES_128_GCM_SHA256
TLS_DHE_ RSA _WITH_AES_128_CBC_SHA
TLS_ RSA _WITH_3DES_EDE_CBC_SHA
گواهی SSL فقط باید مشخص کند آیا متن پررنگ "RSA" یا "ECDSA" است. و دیگر روش KeyExchange و Encryption باید در هنگام دست یافتن به SSL تعیین شود.
نامهای روش واقعی رمزنگاری متقارن پس از «_WITH_»
سپس سوال من این است که چگونه یک گواهی SSL میتواند قدرت رمزگذاری متقارن را تعیین کند؟ آیا باید توسط پیکربندی سرور تعیین شود؟
متاسفم برای من فقیر انگلیسی ….
شفافیت گواهی چگونه اجرا می شود؟
آیا کروم از گواهینامه های شرکتها (یا "داخلی") توسط کروم رد می شود؟
این در حال حاضر در جمله دقیق شما ذکر شده پاسخ داده شده است: "… نیاز به شفافیت گواهی برای همه تازه صادر شده، به طور عمومی اعتبار گواهی ". از آنجا که CA داخلی به طور عمومی قابل اعتماد نیست، هیچ شفافیت گواهی برای این مورد نیاز نخواهد بود.
آیا هر گواهی که توسط مرورگر مشاهده می شود، پرس و جو به سرور CT گوگل را نشان می دهد؟
شفافیت گواهی در Chrome روند تأیید را به شرح زیر شرح می دهد: 19659003] کروم ممکن است بررسی کند که یک SCT توسط CT Log که آن را صادر کرده است، احترام گذاشته شده است، یعنی که گواهی مربوطه در واقع این نشریه CT منتشر شده است. … کروم این کار را با ارسال یک پرس و جو DNS به طور خاصی انجام می دهد که درخواست ورودی را از ورود به سیستم نشان می دهد. استفاده از DNS اجازه می دهد تا کاربر از دیدگاه CT ورود ناشناخته باقی بماند و امکان تایپ محتویات را در آن ذخیره کند.
از درک من همیشه اگر اطلاعات CT مورد نیاز در گواهینامه باشد، بررسی خواهد شد. اما من فکر نمی کنم که این بدان معناست که همیشه این اطمینان را می گیرد که این اطلاعات درست هستند و در CT logs منعکس می شوند. حدس من این است که آن را همیشه، اما اغلب به اندازه کافی، بررسی خواهد شد به طوری که گواهینامه های اطلاعات CT جعلی شناسایی شده است.
مجوز گواهی – MITM بیش از TLS اعتماد از طریق همگرایی
من برخی از مزایای بزرگ (هم اکنون قدیمی) Moxie's Convergence یا چشم انداز CM را می بینم. با این حال، چگونه آنها با حمله یک MITM در راه مشترک شبکه هر دو مشتری و دفتر اسناد رسمی در راه به سرور نشسته؟ هر دو دفتر اسناد رسمی و مشتری همان گواهی جعلی را می بینند و به درستی اعتبار خواهند یافت.
بله، متخلفان مختلف در مکان های مختلف هستند، اما اگر همه آنها باید از یک مسیر مشترک شبکه عبور کنند؟ (به عنوان مثال دیوار بزرگ چین)
