以下文章由SSL盾小編整理髮布,【www.ssldun.com】 網站安全之盾
上面客戶端使用HTTPS與服務器通信中使用到了CA認證,這裏可能大家會問爲什麼不直接使用非對稱加密的形式直接進行,首先這裏先介紹下非對稱加密。
非對稱加密:客戶端和服務端均擁有一個公有密匙和一個私有密匙。公有密匙可以對外暴露,而私有密匙只有自己可見。
使用公有密匙加密的消息,只有對應的私有密匙才能解開。反過來,使用私有密匙加密的消息,只有公有密匙才能解開。這樣客戶端在發送消息前,先用服務器的公匙對消息進行加密,服務器收到後再用自己的私匙進行解密。
非對稱加密的優點:
非對稱加密採用公有密匙和私有密匙的方式,解決了http中消息保密性問題,而且使得私有密匙泄露的風險降低。
因爲公匙加密的消息只有對應的私匙才能解開,所以較大程度上保證了消息的來源性以及消息的準確性和完整性。
非對稱加密的缺點:
非對稱加密時需要使用到接收方的公匙對消息進行加密,但是公匙不是保密的,任何人都可以拿到,中間人也可以。那麼中間人可以做兩件事,第一件是中間人可以在客戶端與服務器交換公匙的時候,將客戶端的公匙替換成自己的。這樣服務器拿到的公匙將不是客戶端的,而是中間人的。服務器也無法判斷公匙來源的正確性。第二件是中間人可以不替換公匙,但是他可以截獲客戶端發來的消息,然後篡改,然後用服務器的公匙加密再發往服務器,服務器將收到錯誤的消息。
非對稱加密的性能相對對稱加密來說會慢上幾倍甚至幾百倍,比較消耗系統資源。正是因爲如此,https將兩種加密結合了起來。
爲了應對上面非對稱加密帶來的問題,我們就引入了數字證書與數字簽名
故CA認證介入我們的HTTPS連接的過程如下:
1、服務器擁有自己的私鑰與公鑰
2、服務器將公鑰交給CA認證機構,請求給予一份數字證書
3、CA認證機構生成數字證書,並頒發給服務器
4、服務器將帶有公鑰信息的數字證書發給客戶端
5、進入客戶端生成對稱密鑰再進行對接的過程......