上面流程中提到的第4 點中的 「此時瀏覽器會用ca機構的公鑰來對這段資料解密」 中的公鑰,為了安全,又該如何獲取到ca機構的公鑰?
這個問題就很好解決了,因為世界上的**是無限多的,而ca機構總共就那麼幾家。任何正版作業系統都會將所有主流ca機構的公鑰內建到作業系統當中,所以我們不用額外獲取,解密時只需遍歷系統中所有內建的ca機構的公鑰,只要有任何乙個公鑰能夠正常解密出資料,就說明它是合法的
接上面的點,假如攻擊者知道abc.com使用的是某家ca機構的證書,那麼他也可以同樣去這家ca機構申請乙個合法的證書,然後在瀏覽器請求abc.com時對返回的加密證書資料進行替換,這時ca機構頒發的證書也不見得安全啊?
有ca機構在製作的證書時除了**的公鑰外,還要包含許多其他資料,用來輔助進行校驗,比如說**的網域名稱就是其中一項重要的資料,如果證書中加入了**的網域名稱,那麼攻擊者就只能無功而返了。因為,即使加密資料可以被成功解密,但是最終解密出來的證書中包含的網域名稱和瀏覽器正在請求的網域名稱對不上,那麼此時瀏覽器仍然會顯示異常介面
總結:
疑問點
參考:
Https簡單原理
三 https的工作原理 https在傳輸資料之前需要客戶端 瀏覽器 與服務端 之間進行一次握手,在握手過程中將確立雙方加密傳輸資料的密碼資訊。tls ssl協議不僅僅是一套加密傳輸的協議,更是一件經過藝術家精心設計的藝術品,tls ssl中使用了非對稱加密,對稱加密以及hash演算法。握手過程的簡...
https通訊原理
了解https之前,先了解http 是乙個應用層協議,由請求和響應構成,是乙個標準的客戶端伺服器模型。是乙個無狀態的協議 http協議通常承載於tcp協議之上,有時也承載於tls或ssl協議層之上,這個時候,就成了我們常說的https。https有兩種基本的加解密演算法型別 1 對稱加密 金鑰只有乙...
HTTPS工作原理
https其實是有兩部分組成 http ssl tls,也就是在http上又加了一層處理加密資訊的模組。服務端和客戶端的資訊傳輸都會通過tls進行加密,所以傳輸的資料都是加密後的資料。客戶端發起https請求 這個沒什麼好說的,就是使用者在瀏覽器裡輸入乙個https 然後連線到server的443埠...