簡潔版本,快速理解
http
image.png
https
image.png
加密
加密必須采用非對稱算法,不然形同虛設(shè)
- 對稱算法加密解密的秘鑰一致癣防,可以輕松破解
- 非對稱加密算法公鑰可以解密私鑰加密數(shù)據(jù),私鑰可以解密公鑰加密數(shù)據(jù)掌眠;因此客戶端持有公鑰蕾盯,私鑰只有服務(wù)端持有
證書
采用上述rsa加密算法解決數(shù)據(jù)安全問題
引出新問題,客戶端怎么持有公鑰蓝丙,公鑰不能通過請求傳輸給客戶端级遭,存在中間人攻擊:截取報文望拖,采用自己的公私鑰加解密篡改數(shù)據(jù),再用原公鑰加密回去挫鸽。因此需要第三方來存儲
第三方權(quán)威機(jī)構(gòu)給服務(wù)端頒發(fā)證書说敏,請求時發(fā)送給客戶端;證書存儲瀏覽器中掠兄,每個證書中持有服務(wù)端相應(yīng)的公鑰像云,用于解密服務(wù)端數(shù)據(jù)
同樣的問題锌雀,第三方也需要對證書內(nèi)容加密蚂夕,第三方的公鑰怎么傳輸?
瀏覽器內(nèi)置第三方的公鑰
CA機(jī)構(gòu)會對證書內(nèi)容做一次摘要生成數(shù)字簽名腋逆,瀏覽器收到證書后可以用內(nèi)置公鑰解密驗簽婿牍,得到一樣簽名表示未被修改暂衡。
image.png
