资料
华为数字证书解读
彻底搞懂HTTPS的加密原理
解读
使用过程
- 首先,证书持有者拥有一对公私钥;
- CA机构验证证书申请人身份后,使用CA机构私钥(属于根证书,一般浏览器保有CA的根证书公钥)对申请人的基本信息及公钥进行签名;
- 这样,申请人就获得了私钥以及一个CA认证的安全证书(终端证书);
- 服务器将安全证书(包含申请人的公钥)发送给浏览器;
- 浏览器会使用CA的根证书的公钥对安全证书进行校验;
- 校验通过后,浏览器生成一个对称加密秘钥,使用安全证书中公钥对该秘钥进行加密,然后发送给服务端;
- 服务端接收到加密信息后,使用私钥进行解密;
- 如此,安全交换秘钥的过程完成了,接下的系统通讯基于对称加密秘钥就行。
解惑
- 安全证书会被替换吗?
不会。一是证书中包含证书的归属人信息,比如域名等,所以即使中间人也去申请CA证书,但是浏览器能够判断收到的证书的归属人不是期望的;二是如果中间人使用自己生成的证书,当浏览器使用CA根证书的公钥去验证中间人证书会失败。
- 安全证书会被篡改吗?
不会。篡改证书,使用CA根证书校验时会失败。