先上圖
這幾天對HTTPS稍微深入瞭解一下,簡單總結一下,上面的流程不是協議實現流程,只是概要的理解流程,方便對HTTPS的理解,具體問題的定位的時候可以大概明白在哪裏出了問題,詳細還要看協議。
HTTPS是綜合了對稱加密和非對稱加密的通信協議。爲什麼搞這麼複雜呢,是因爲非對稱加密具有良好的保密性,但是速度也超級慢,而對稱加密,安全性低,但速度超級快,兩者之間的速度差距近百倍。
所以,HTTPS就用非對稱加密的方式來傳輸對稱加密用的KEY, 這樣既滿足安全要求又滿足了速度要求。
但在用非對稱加密協商KEY的時候,又要擔心“中間人”劫持,就是中間人僞裝服務器,所以需要確認我們通信的服務器就是我們想要的服務器,也就是說需要確認服務器是正確的人,這個時候就用到了證書這個概念,證書是認證中心(CA)頒發的,服務器的證書是需要去CA中心申請,然後CA頒發。客戶端通過獲取CA的公鑰就可以判斷證書是否合法(合法意味着訪問服務是正確的)。而CA的公鑰可以簡單理解爲是預置在客戶端(比如操作系統、瀏覽器)的,因爲其實證書涉及更附在的逐層認證(具體沒有研究),所以圖中也沒有體現。
之前關於對稱和非對稱加密的簡單介紹:
https://blog.csdn.net/zhuxiaoping54532/article/details/105101534