寫一篇最好懂的https講解
- 掌握它的整體工作流程结笨、它為什么能夠保證網(wǎng)絡(luò)通信的安全
- 先搞清兩個概念:對稱加密與非對稱加密钻心。對稱加密,加解密使用同個密鑰;特點(diǎn):加解密效率高快压,密鑰被竊有風(fēng)險糙俗;代表:AES、DES直秆。非對稱加密濒募,使用公鑰進(jìn)行加密的數(shù)據(jù),使用私鑰才能解密圾结;特點(diǎn):安全性高瑰剃,不用擔(dān)心被破解,加密效率較差筝野;代表:RSA晌姚、ElGamal
- http傳輸面臨的風(fēng)險:
- 容易在傳輸過程中被監(jiān)聽、竊取歇竟、篡改挥唠,導(dǎo)致客戶端與服務(wù)端收發(fā)內(nèi)容不一致;
- 若使用對稱加密焕议,沒有時機(jī)能安全地商定密鑰宝磨;
- 若首次使用非對稱加密商定密鑰,隨后用對稱加密傳輸,需要應(yīng)對公鑰被替換的問題唤锉;
- 引入CA機(jī)構(gòu)世囊,給各個網(wǎng)站辦法證書(包含公鑰與輔助校驗(yàn)信息,如域名)窿祥;
事前:
網(wǎng)站方株憾,將公鑰+輔助校驗(yàn)信息,提供給CA機(jī)構(gòu)生成證書壁肋,通過CA私鑰加密得到加密后數(shù)據(jù)号胚,交給網(wǎng)站方配置到服務(wù)器。
請求中:
網(wǎng)站方浸遗,將保存的CA加密數(shù)據(jù)發(fā)送給客戶端猫胁,讓它用CA公鑰進(jìn)行解密,成功則得到證書(含公鑰與輔助校驗(yàn)信息)
操作系統(tǒng):
會將主流CA機(jī)構(gòu)公鑰內(nèi)置跛锌,不用額外獲取弃秆,解密時遍歷系統(tǒng)中的CA公鑰,又一個能正常解密則為合法
另外:
證書中包含的域名與瀏覽器正請求的域名不同也會觸發(fā)異常