Ssl
是否可以從 SSL 請求中提取簽名消息?
給定任何 HTTPS 伺服器,比如 google.com,我們可以提取有效負載/響應和該數據的簽名嗎?
目的是提出請求,並獲得可以使用標准證書頒發機構系統檢查的數據文件和簽名。
應用程序數據既不是由 TLS 簽名的,也不是在 HTTP 級別上簽名的請求/響應。在沒有簽名的地方可以提取。但是,TLS 中的應用程序數據受到保護,不會被中間人修改。但是這是通過 HMAC 完成的,其中密鑰對於客戶端和伺服器都是已知的,這意味著客戶端可以為伺服器發送的數據創建 HMAC,因此這不能用作伺服器已發送某些內容的證據。