Игнорировать следующее, перейти к "@ edit2"
Я много читал о SSL-сертификатах, но все еще не могу понять следующее:
У меня есть программа, которая выполняет POST для моего API, как я могу заставить эту программу делать это с помощью сертификата, я имею в виду защиту отправленной информации.
Нужно ли включать сертификат в клиент? или когда он делает сообщение, он сначала запрашивает сертификат у сервера?
В том случае, если он должен включать сертификат, разве это небезопасно?
Потому что stackoverflow просит меня сказать следующее:
Я уже много читал о сертификатах SSL, это https://medium.freecodecamp.org/https-explained-with-carrier-pigeons-7029d2193351 мне очень помогло, но все же я не понимаю, как это работает в моем случае.
Если есть какой-нибудь способ, которым я могу попробовать, любой веб-сайт, который я могу легко использовать для создания HTTPS Post, пожалуйста, сообщите мне.
Заранее спасибо
@ edit1: Если честно, после публикации я нашел правильные слова для поиска в Google и нашел это сообщение:
https://security.stackexchange.com/questions/110621/ssl-newbie-does-https-client-also-need-a-certificate
Но я хотел знать, относится ли это к следующему случаю:
file.exe выполняет POST для api на сервере (отправка имени пользователя и пароля), сервер отвечает на файл file.exe "вы вошли в систему" или "nop, неправильный pw / user".
Если на моей странице включен SSL, будет ли мой .exe отправлять информацию в виде текста? и будет ли мой API отвечать обычным текстом?
Должен ли я сделать это с помощью POST или GET? я читал, что POST лучше, потому что он отправляет информацию о теле вместо URL, но будет ли ответ от API защищен сертификатом в этом случае?
Заранее спасибо.
@ edit2: Редактирование еще 1 раз, потому что благодаря @Ladislav Louka (идиотский правильный способ пометить кого-то) я обнаружил, что могу перехватить пакеты и проверить это самостоятельно.
Мой последний вопрос:
Нужно ли включать сертификат на клиенте, чтобы все было безопасно? Я имею в виду, действительно ли серверу нужно знать, выполняет ли мой клиент запросы? Разве это не может быть небезопасно, потому что сертификат может быть украден? как секретный ключ? а затем использовать другое приложение для атаки грубой силы на мою страницу?