看完这后，我奶奶都懂SSL证书啦！

上过网的朋友都知道，网络是非常不安全的。尤其是公共场所很多免费的wifi，或许只是攻击者的一个诱饵。还有大家平时喜欢用的万能钥匙，等等。那我们平时上网可能会存在哪些风险呢？ 

1、泄密，个人隐私、账户密码等信息可能会被盗取。

2、篡改，收到的数据可能被第三方修改过，或被植入广告等。  

3、假冒，访问的站点非目标服务器站点。如域名欺骗、域名劫持、钓鱼网站等。

可能住你隔壁穿人字拖、说话都略显羞涩的小王，一到夜深人静的时候就开始偷窥你的一举一动！陪你一起看91某社区的电影还好，万一窃取了各购物网站或其他站点的登录信息就……是不是想想有些害怕呢！

为什么别人能获取你上网的数据呢？有过一定网络基础的朋友多少都对TCP/IP有些了解，对各种握手挥手早已背得滚瓜烂俗，对http协议也早了然于心。http是应用层的协议，位于TCP/IP参考模型的最上层。用户数据经过应用层、传输层、网络层、链路层的层层封装后经过物理层发送到目标机器。在这几层中，数据都没有经过加密处理，所以一旦别人获取到你的数据包，就能轻易的获取到数据的信息。

为了保护数据隐私，让数据不再“裸奔”。对需要传输的数据进行加密处理就很有必要了。目前而言，就SSL证书能做到这一点。

SSL证书

我们生活中有各种证，有能证明自己是个有身份的人的身份证，有能证明自己读了几年书的毕业证。这些证都是由某些权威机关认证、无法伪造的，能证明自己身份的凭据。那服务器是不是也能有个类似身份证的东西，在与服务器进行通信的时候证明自己确实是目标服务器而不是小王伪造的呢？在生活中这些证件都是事实在在能看得见摸得着的，而计算机中的证书是虚拟的，看得见但是摸不着，是数据形式记录的，所以叫SSL证书！

客户端第一次与服务器进行通信的时候，服务器需要出示自己的SSL证书，证明自己的身份以及自己的公钥，类似如下（实际上就是一堆数据，这里为了直观）

那这个SSL证书怎么产生的呢？总不能是服务器自己造一个吧？上面说到了我们生活中的证书是由权威机构颁发的、无法伪造的，比如身份证就是由派出所发证、毕业证由教育部发证，如果需要验证真假，只需要上相关的系统输入编号查询就能查到了！那我们SSL证书也应该有这两个特性-权威机构颁发、防伪！

CA机构

CA机构就是SSL证书颁发的权威机构，负责颁发证书以及验证证书的合法性。如果服务器需要做个有身份的服务器，就需要向CA机构提交申请，当然有钱才好办事，交钱才能给你办证……

服务器向CA机构提交申请，需要提交站点的信息如域名、公司名称、公钥等等，CA审批无误之后就可以给服务器颁发证书了！

客户端在拿到服务器的证书后，就需要验证证书编号是否能在对应的CA机构查到，并且核对证书的基本信息如证书上的域名是否与当前访问的域名一致等等，还可以拿到证书中服务器的公钥信息用于协商对称密钥！

证书颁发了，可是又怎么防止伪造，怎么保证在传输过程中不被篡改呢？万一小王截获到SSL证书，把公钥改成自己的那不是依然无法保证安全了么？这就需要数字签名了！

数字签名

与公司签过劳动合同的朋友应该都知道，在合同信息的填写中，是不能有涂改的，否则需要重新填写！并且在最后需要甲方和乙方签名并且盖章。一旦签名盖章后的合同就具有了法律的效力，合同就不能再修改。签名和盖章操作就是防止合同伪造，规定不能修改就防止了合同被篡改！

在实际生活中签名、盖章操作是实实在在的动作，作用在具体某个物体上的！但是我们的SSL证书本身就是虚拟的，怎么去给一个虚拟的证书签名盖章呢？数字签名又是什么机制呢？

我们在做权限系统的时候，存储用户密码的时候都会经过MD5计算摘要后存储，在登录的时候计算用户填写的密码的MD5摘要与数据库存储的摘要进行对比，如果一致则密码正确，否则登录失败！MD5是不可逆的，且不同的数据计算出来的摘要是不一样的（当然也有极小的概率会hash碰撞），基于这个特性，就有了数字签名的思路。

服务器提交自己的基本信息想CA机构提出申请，CA机构在给服务器颁发证书的时候，会连同SSL证书以及根据证书计算的摘要一同发送给服务器，且这个摘要是需要经过CA机构自己的私钥进行加密的。申请流程如下：

 

啥？不够直观？那我们再来个直观点的！通过下图我们能看到，CA给服务器颁发的证书是有自己专属的“公章”的。

 

哪些CA机构对于客户端来说是权威或者说是认可的呢？我们打开IE浏览器能看到客户端内置的CA机构的信息，包含了CA的公钥、签名算法、有效期等等...

服务器在与客户端通信的时候，就会将SSL证书和数字签名出示给客户端了。客户端拿到SSL证书和数字签名后，先通过操作系统或者浏览器内置信任的CA机构找到对应CA机构的公钥对数字签名进行解密，然后采用同样的摘要算法计算SSL证书的摘要，如果自己计算的摘要与服务器发来的摘要一致，则证书是没有被篡改过的！这样就防止了篡改！第三方拿不到CA机构的私钥，也就无法对摘要进行加密，如果是第三方伪造的签名自然也在客户端也就无法解密，这就防止了伪造！所以数字签名就是通过这种机制来保证SSL证书被篡改和被伪造。具体流程如下：

 

这里需要注意一点，一个是CA的公钥，内置在客户端，用来解密数字签名！另一个是目标服务器的公钥，在SSL证书内容里，用来协商对称密钥！

SSL与HTTPS联系

其实HTTPS=HTTP+SSL，在HTTP层和TCP之间加了一个SSL/TLS层，如下图：

SSL（Secure Sockets Layer）中文叫“安全套接层”，后来由于广泛应用，SSL标准化之后就改名为TLS（Transport Layer Security）了,其实HTTPS就是通过上面说到的那些手段来解决网络上可能存在的数据泄密、篡改、假冒的这些问题，保证网络传输的安全的啦！
写到这，打一波广告，购买SSL证书可以点击右侧QQ咨询，当然除了网站加密，网站防护、加速、安全等各类问题也可以联系我。

分享题目：看完这后，我奶奶都懂SSL证书啦！
文章地址：https://www.cdcxhl.com/news11/105461.html

成都网站建设公司_创新互联，为您提供关键词优化、域名注册、外贸网站建设、定制网站、自适应网站、面包屑导航

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联