ssl證書技術

 CA : 可信任的頒證機構


1.RSA算法基於一個十分簡單的數論事實：將兩個大素數相乘十分容易，但是想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作爲加密密鑰。
1.歐拉函數:在數論中，對正整數n，歐拉函數φ(n)是小於或等於n的正整數中與n互質的數的數目.
3.ssl證書中的指紋:指紋是證書的加密哈希值。通過指紋可以快速確定提供的證書是否與另一個證書（例如之前接受的證書）相同
4.證書結構
--Version 版本
--Serial Number序列號
--Algorithm ID 算法標識
--Issuer 頒發者
--Validity 有效期
>Not Before 有效起始日期
>Not After 有效終止日期
--Subject 使用者
--Subject Public Key Info 使用者公鑰信息  
-- Public Key Algorithm公鑰算法
--Subject Public Key公鑰
--Issuer Unique Identifier (Optional) 頒發者唯一標識
--Subject Unique Identifier (Optional) 使用者唯一標識
--Extensions (Optional) 擴展
...
Certificate Signature Algorithm 證書籤名算法
Certificate Signature 證書籤名


5.證書驗證過程:
1). 瀏覽器使用內置的 < 根證書 > 中的 <公鑰>  來對收到的證書進行認證，如果一致，就表示該安全證書是由可信任的頒證機構簽發的;
如果該 SSL證書不是根服務器簽發的，瀏覽器就會自動檢查上一級的發證機構，直到找到相應的根證書頒發機構，如果該根證書頒發機構是可信的，
這個網站的SSL證 書也是可信的.

2). 檢查SSL證書中的證書吊銷列表
3). 檢查此SSL證書是否過期
4). 檢查部署此SSL證書的網站的域名是否與證書中的域名一致
6.ssl基於非對稱加密技術


7.ssl證書功能:
服務器部署了 SSL 證書後可以確保用戶在瀏覽器上輸入的機密信息和從服務器上查詢的機密信息從用戶電腦到服務器之間的傳輸鏈路上是高強度加密傳輸的，
是不可能被非法篡改和竊取的。同時向網站訪問者證明了服務器的真實身份，此真實身份是通過第三方權威機構驗證的。
也就是說有兩大作用：數據加密和身份認證。


8.什麼是數字簽名？
所謂數字簽名就是信息發送者用其私有密鑰對從所傳報文中提取出的特徵數據（或稱數字指紋）進行RSA算法操作，
以保證發信人無法抵賴曾發過該信息（即不可抵 賴性），同時也確保信息報文在經簽名後末被篡改（即完整性）。
當信息接收者收到報文後，就可以用發送者的公鑰對數字簽名進行驗證。
9.
數字簽名  是加密後的信息摘要
數字指紋  是將指紋利用數字水印技術嵌入到數字媒體中
數字信封  其中應包含原始數據
數字證書  有其標準的證書格式

總結 : 
一.對ssl證書持有者的身份認證:
1.數字簽名:用私鑰對一段數據的摘要信息加密後的密文;
只有與該私鑰匹配的公鑰可以驗證這個數據的簽名是否與數據匹配;(數據的完整性)
並且該公鑰可以唯一標識一個身份;(數據的不可抵賴性)
2.ssl證書:是ca機構簽發的帶有ca機構數字簽名的數據(該數據中記錄了被認證者的信息--具體見上面的  "ssl證書結構"  );
3.因爲我們相信ca機構(ca機構的公鑰是全世界都知道的),所以我們相信被ca機構認證的(即頒發ssl證書的)被認證者.
二.進行通信加密(不考慮需要瀏覽器端提供證書的情況,實際上是差不多的,只是更安全):
1.ssl證書中有一個公鑰,這個公鑰就是其通信用公鑰.當我們向該公鑰持有人發送數據時,我們用該公鑰加密數據就可以保證加密後的數據只會被該公鑰持有人解讀;
(注意 : 持有ssl證書的一方只能保證其他人向他發數據的絕對安全. 但是實際中這種情況可以保證雙發收發數據的安全.具體見下)
三.瀏覽器鑑定一個網址的ssl證書,以及建立安全通信通道的過程:
用戶用瀏覽器訪問https網址
瀏覽器下載網站ssl證書
瀏覽器讀取ssl證書的信息,最重要的就是得到該證書的頒發機構(ca機構),如果該ssl證書中指定的ca機構(就是你的瀏覽器中的根證書)不存在於你的瀏覽器(像我國鐵路訂票系統12306那樣自己給自己頒發證書--12306的ssl證書頒發ca就是12306),那就會出現兩種情況,要麼你去安裝該ssl證書中指定的ca機構的根證書再訪問,要麼不訪問
瀏覽器用上一步得到的ca機構的證書中的公鑰去驗證ssl證書中的簽名是否爲該ca機構簽署;不是就嚴重警告,或者無法訪問
瀏覽器驗證剩下一些信息 , 諸如 :證書有效期, 是否被吊銷,等
瀏覽器向服務器發送一個通信用對稱祕鑰(用ssl中的公鑰加密過得)
接下來就用這個對稱祕鑰進行安全通信