看完這后,我奶奶都懂SSL證書(shū)啦!

2021-03-19    分類(lèi): 網(wǎng)站建設(shè)

上過(guò)網(wǎng)的朋友都知道,網(wǎng)絡(luò)是非常不安全的。尤其是公共場(chǎng)所很多免費(fèi)的wifi,或許只是攻擊者的一個(gè)誘餌。還有大家平時(shí)喜歡用的萬(wàn)能鑰匙,等等。那我們平時(shí)上網(wǎng)可能會(huì)存在哪些風(fēng)險(xiǎn)呢? 

1、泄密,個(gè)人隱私、賬戶(hù)密碼等信息可能會(huì)被盜取。

2、篡改,收到的數(shù)據(jù)可能被第三方修改過(guò),或被植入廣告等。  

3、假冒,訪問(wèn)的站點(diǎn)非目標(biāo)服務(wù)器站點(diǎn)。如域名欺騙、域名劫持、釣魚(yú)網(wǎng)站等。

可能住你隔壁穿人字拖、說(shuō)話都略顯羞澀的小王,一到夜深人靜的時(shí)候就開(kāi)始偷窺你的一舉一動(dòng)!陪你一起看91某社區(qū)的電影還好,萬(wàn)一竊取了各購(gòu)物網(wǎng)站或其他站點(diǎn)的登錄信息就……是不是想想有些害怕呢!

SSL證書(shū)

為什么別人能獲取你上網(wǎng)的數(shù)據(jù)呢?有過(guò)一定網(wǎng)絡(luò)基礎(chǔ)的朋友多少都對(duì)TCP/IP有些了解,對(duì)各種握手揮手早已背得滾瓜爛俗,對(duì)http協(xié)議也早了然于心。http是應(yīng)用層的協(xié)議,位于TCP/IP參考模型的最上層。用戶(hù)數(shù)據(jù)經(jīng)過(guò)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層的層層封裝后經(jīng)過(guò)物理層發(fā)送到目標(biāo)機(jī)器。在這幾層中,數(shù)據(jù)都沒(méi)有經(jīng)過(guò)加密處理,所以一旦別人獲取到你的數(shù)據(jù)包,就能輕易的獲取到數(shù)據(jù)的信息。

為了保護(hù)數(shù)據(jù)隱私,讓數(shù)據(jù)不再“裸奔”。對(duì)需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理就很有必要了。目前而言,就SSL證書(shū)能做到這一點(diǎn)。

SSL證書(shū)

我們生活中有各種證,有能證明自己是個(gè)有身份的人的身份證,有能證明自己讀了幾年書(shū)的畢業(yè)證。這些證都是由某些權(quán)威機(jī)關(guān)認(rèn)證、無(wú)法偽造的,能證明自己身份的憑據(jù)。那服務(wù)器是不是也能有個(gè)類(lèi)似身份證的東西,在與服務(wù)器進(jìn)行通信的時(shí)候證明自己確實(shí)是目標(biāo)服務(wù)器而不是小王偽造的呢?在生活中這些證件都是事實(shí)在在能看得見(jiàn)摸得著的,而計(jì)算機(jī)中的證書(shū)是虛擬的,看得見(jiàn)但是摸不著,是數(shù)據(jù)形式記錄的,所以叫SSL證書(shū)!

客戶(hù)端第一次與服務(wù)器進(jìn)行通信的時(shí)候,服務(wù)器需要出示自己的SSL證書(shū),證明自己的身份以及自己的公鑰,類(lèi)似如下(實(shí)際上就是一堆數(shù)據(jù),這里為了直觀)

SSL證書(shū)

那這個(gè)SSL證書(shū)怎么產(chǎn)生的呢?總不能是服務(wù)器自己造一個(gè)吧?上面說(shuō)到了我們生活中的證書(shū)是由權(quán)威機(jī)構(gòu)頒發(fā)的、無(wú)法偽造的,比如身份證就是由派出所發(fā)證、畢業(yè)證由教育部發(fā)證,如果需要驗(yàn)證真假,只需要上相關(guān)的系統(tǒng)輸入編號(hào)查詢(xún)就能查到了!那我們SSL證書(shū)也應(yīng)該有這兩個(gè)特性-權(quán)威機(jī)構(gòu)頒發(fā)、防偽!

CA機(jī)構(gòu)

CA機(jī)構(gòu)就是SSL證書(shū)頒發(fā)的權(quán)威機(jī)構(gòu),負(fù)責(zé)頒發(fā)證書(shū)以及驗(yàn)證證書(shū)的合法性。如果服務(wù)器需要做個(gè)有身份的服務(wù)器,就需要向CA機(jī)構(gòu)提交申請(qǐng),當(dāng)然有錢(qián)才好辦事,交錢(qián)才能給你辦證……

服務(wù)器向CA機(jī)構(gòu)提交申請(qǐng),需要提交站點(diǎn)的信息如域名、公司名稱(chēng)、公鑰等等,CA審批無(wú)誤之后就可以給服務(wù)器頒發(fā)證書(shū)了!

客戶(hù)端在拿到服務(wù)器的證書(shū)后,就需要驗(yàn)證證書(shū)編號(hào)是否能在對(duì)應(yīng)的CA機(jī)構(gòu)查到,并且核對(duì)證書(shū)的基本信息如證書(shū)上的域名是否與當(dāng)前訪問(wèn)的域名一致等等,還可以拿到證書(shū)中服務(wù)器的公鑰信息用于協(xié)商對(duì)稱(chēng)密鑰!

證書(shū)頒發(fā)了,可是又怎么防止偽造,怎么保證在傳輸過(guò)程中不被篡改呢?萬(wàn)一小王截獲到SSL證書(shū),把公鑰改成自己的那不是依然無(wú)法保證安全了么?這就需要數(shù)字簽名了!

數(shù)字簽名

與公司簽過(guò)勞動(dòng)合同的朋友應(yīng)該都知道,在合同信息的填寫(xiě)中,是不能有涂改的,否則需要重新填寫(xiě)!并且在最后需要甲方和乙方簽名并且蓋章。一旦簽名蓋章后的合同就具有了法律的效力,合同就不能再修改。簽名和蓋章操作就是防止合同偽造,規(guī)定不能修改就防止了合同被篡改!

在實(shí)際生活中簽名、蓋章操作是實(shí)實(shí)在在的動(dòng)作,作用在具體某個(gè)物體上的!但是我們的SSL證書(shū)本身就是虛擬的,怎么去給一個(gè)虛擬的證書(shū)簽名蓋章呢?數(shù)字簽名又是什么機(jī)制呢?

我們?cè)谧鰴?quán)限系統(tǒng)的時(shí)候,存儲(chǔ)用戶(hù)密碼的時(shí)候都會(huì)經(jīng)過(guò)MD5計(jì)算摘要后存儲(chǔ),在登錄的時(shí)候計(jì)算用戶(hù)填寫(xiě)的密碼的MD5摘要與數(shù)據(jù)庫(kù)存儲(chǔ)的摘要進(jìn)行對(duì)比,如果一致則密碼正確,否則登錄失??!MD5是不可逆的,且不同的數(shù)據(jù)計(jì)算出來(lái)的摘要是不一樣的(當(dāng)然也有極小的概率會(huì)hash碰撞),基于這個(gè)特性,就有了數(shù)字簽名的思路。

服務(wù)器提交自己的基本信息想CA機(jī)構(gòu)提出申請(qǐng),CA機(jī)構(gòu)在給服務(wù)器頒發(fā)證書(shū)的時(shí)候,會(huì)連同SSL證書(shū)以及根據(jù)證書(shū)計(jì)算的摘要一同發(fā)送給服務(wù)器,且這個(gè)摘要是需要經(jīng)過(guò)CA機(jī)構(gòu)自己的私鑰進(jìn)行加密的。申請(qǐng)流程如下:

 

啥?不夠直觀?那我們?cè)賮?lái)個(gè)直觀點(diǎn)的!通過(guò)下圖我們能看到,CA給服務(wù)器頒發(fā)的證書(shū)是有自己專(zhuān)屬的“公章”的。

SSL證書(shū)

 

哪些CA機(jī)構(gòu)對(duì)于客戶(hù)端來(lái)說(shuō)是權(quán)威或者說(shuō)是認(rèn)可的呢?我們打開(kāi)IE瀏覽器能看到客戶(hù)端內(nèi)置的CA機(jī)構(gòu)的信息,包含了CA的公鑰、簽名算法、有效期等等...

SSL證書(shū)

服務(wù)器在與客戶(hù)端通信的時(shí)候,就會(huì)將SSL證書(shū)和數(shù)字簽名出示給客戶(hù)端了??蛻?hù)端拿到SSL證書(shū)和數(shù)字簽名后,先通過(guò)操作系統(tǒng)或者瀏覽器內(nèi)置信任的CA機(jī)構(gòu)找到對(duì)應(yīng)CA機(jī)構(gòu)的公鑰對(duì)數(shù)字簽名進(jìn)行解密,然后采用同樣的摘要算法計(jì)算SSL證書(shū)的摘要,如果自己計(jì)算的摘要與服務(wù)器發(fā)來(lái)的摘要一致,則證書(shū)是沒(méi)有被篡改過(guò)的!這樣就防止了篡改!第三方拿不到CA機(jī)構(gòu)的私鑰,也就無(wú)法對(duì)摘要進(jìn)行加密,如果是第三方偽造的簽名自然也在客戶(hù)端也就無(wú)法解密,這就防止了偽造!所以數(shù)字簽名就是通過(guò)這種機(jī)制來(lái)保證SSL證書(shū)被篡改和被偽造。具體流程如下:

SSL證書(shū)

 

這里需要注意一點(diǎn),一個(gè)是CA的公鑰,內(nèi)置在客戶(hù)端,用來(lái)解密數(shù)字簽名!另一個(gè)是目標(biāo)服務(wù)器的公鑰,在SSL證書(shū)內(nèi)容里,用來(lái)協(xié)商對(duì)稱(chēng)密鑰!

SSL與HTTPS聯(lián)系

其實(shí)HTTPS=HTTP+SSL,在HTTP層和TCP之間加了一個(gè)SSL/TLS層,如下圖:

SSL證書(shū)

SSL(Secure Sockets Layer)中文叫“安全套接層”,后來(lái)由于廣泛應(yīng)用,SSL標(biāo)準(zhǔn)化之后就改名為T(mén)LS(Transport Layer Security)了,其實(shí)HTTPS就是通過(guò)上面說(shuō)到的那些手段來(lái)解決網(wǎng)絡(luò)上可能存在的數(shù)據(jù)泄密、篡改、假冒的這些問(wèn)題,保證網(wǎng)絡(luò)傳輸?shù)陌踩睦玻?br /> 寫(xiě)到這,打一波廣告,購(gòu)買(mǎi)SSL證書(shū)可以點(diǎn)擊右側(cè)QQ咨詢(xún),當(dāng)然除了網(wǎng)站加密,網(wǎng)站防護(hù)、加速、安全等各類(lèi)問(wèn)題也可以聯(lián)系我。

分享題目:看完這后,我奶奶都懂SSL證書(shū)啦!
文章地址:http://muchs.cn/news11/105461.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供關(guān)鍵詞優(yōu)化、域名注冊(cè)、外貿(mào)網(wǎng)站建設(shè)、定制網(wǎng)站、自適應(yīng)網(wǎng)站、面包屑導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

綿陽(yáng)服務(wù)器托管