https:就是對數據進行加密
CA證書:就是證明瀏覽器獲取的公鑰就是來自你要訪問的服務器(比如:百度)
Https工作流程
- 瀏覽器發起往服務器的443端口發起請求,請求攜帶了瀏覽器支持的加密算法和哈希算法。
- 服務器收到請求,選擇瀏覽器支持的加密算法和哈希算法。
- 服務器下將數字證書返回給瀏覽器,這裏的數字證書可以是向某個可靠機構申請的,也可以是自制的。
- 瀏覽器進入數字證書認證環節,這一部分是瀏覽器內置的TLS完成的:
1.首先瀏覽器會從內置的證書列表中索引,找到服務器下發證書對應的機構,如果沒有找到,此時就會提示用戶該證書是不是由權威機構頒發,是不可信任的。如果查到了對應的機構,則取出該機構頒發的公鑰(主要目的是取得公鑰)。
2.用機構的證書公鑰解密得到證書的內容和證書籤名,內容包括網站的網址、網站的公鑰、證書的有效期等。瀏覽器會先驗證證書籤名的合法性。簽名通過後,瀏覽器驗證證書記錄的網址是否和當前網址是一致的,不一致會提示用戶。如果網址一致會檢查證書有效期,證書過期了也會提示用戶。這些都通過認證時,瀏覽器就可以安全使用證書中的網站公鑰了。
3.瀏覽器生成一個隨機數R,並使用網站公鑰對R進行加密。
- 瀏覽器將加密的R傳送給服務器。
- 服務器用自己的私鑰解密得到R。
- 服務器以R爲密鑰使用了對稱加密算法加密網頁內容並傳輸給瀏覽器。
- 瀏覽器以R爲密鑰使用之前約定好的解密算法獲取網頁內容。
![在這裏插入圖片描述]()
詳解瀏覽器數字證書認證環節
第一步:查看谷歌的瀏覽器的受信任的根證書頒發機構
第二步:已谷歌(https://www.google.com)爲例
第三步:瀏覽器驗證
- 檢查SSL 證書是否是由瀏覽器中“受信任的根證書頒發機構”頒發,例如上面兩幅圖
- 檢查SSL證書中的證書吊銷列表,檢查證書是否被證書頒發機構吊銷
- 檢查此SSL證書是否過期
- 檢查部署此SSL證書的網站的域名是否與證書中的域名一致
CA證書範例
一個PEM格式的證書範例
解析之後的內容
