使用證書的流程
在建立ssl通訊之前
防篡改和防冒充
ssl限制
總結參考
ssl負責internet通訊的加密(https轉換),我們將以淺顯易懂的方式說明ssl的作用、術語的含義以及建立加密通道的過程等。
簡而言之,ssl是一種用於加密瀏覽器與**之間資料互動(通訊)的機制。
惡意第三方可能會竊取通訊內容並在internet上濫用它。這包括竊取您正在瀏覽的**的位址,在公告板上編寫的內容,在購物**上輸入的信用卡號和密碼,等等。這意味著您不能安全地在internet上購物,因此誕生了一種稱為ssl的機制。
例如,如果您通過公司的計算機進行訪問,則公司的網路管理員可以自由檢視您的通訊,這很容易做到。在餐館等使用免費的wi-fi時,管理員只要有一點相關的知識,也可以嗅探非ssl通訊。
為了彌補這一弱點,ssl會對瀏覽器和伺服器之間的通訊進行加密。這樣,即使將資料從pc竊取到伺服器,由於資料已加密,因此也難以解密。
使用證書之前,需要執行以下步驟。
生成私鑰
使用私鑰生成csr
使用csr生成證書
使用私鑰和證書作為秘鑰對來加密**通訊
證書是通過csr生成的,它與私鑰配對。證書是公鑰(public key),可以重新頒發,但是私鑰(private key)是唯一的。如果您使用的是一些舊的密碼套件,則在私鑰洩漏的情況下,任何人都可以解密與域伺服器的通訊,因此請確保不要丟失它。
但是,現在可以使用相容pfs(完全前向保密)的密碼套件的瀏覽器。如果使用支援pfs的密碼套件,即使伺服器的私鑰被盜,由於每次會話都會生成另乙個金鑰(secret key / shared key),因此不會解密所有通訊。
相反,如果您使用的加密套件不支援pfs,則如果私鑰被盜,所有的通訊都將被解密。儘管它被最新的瀏覽器淘汰,但rsa的金鑰交換方法不支援pfs。
現在讓我們看看在對通訊進行加密之前,瀏覽器和伺服器之間發生了什麼。
1、瀏覽器:請求ssl通訊
2、伺服器:傳送ssl伺服器證書
3、瀏覽器:生成公共金鑰(secret key / shared key),使用接收到的證書的公鑰(public key)加密公共金鑰,並將其傳送到伺服器
4、伺服器:使用私鑰(private key)解密收到的公用金鑰(secret key / shared key)
5、瀏覽器/伺服器:使用相同的公共金鑰(secret key / shared key)建立加密的通訊來加密和解密要傳送和接收的資料
為了清楚起見對過程進行了簡化,但是瀏覽器和伺服器之間的通訊確實是以這種方式加密的。 執行這種複雜的過程的目的是為了讓互不了解的雙方能夠進行加密通訊。 此過程稱為tls握手,如果有多台伺服器,必須與每台伺服器都進行握手,因此如果web頁面需要載入大量外部檔案,就需要執行多次tls握手,這會導致頁面顯示需要花費一些時間。
此外,在ssl領域中,存在用於對ssl伺服器證書進行簽名的中間ca證書,以及對中間ca證書進行簽名的根證書,由於採用了這種層級結構,可以用來驗證伺服器證書是否是正常頒發的。接下來描述防篡改、防冒充功能。
至此,已經說明了通訊加密。 ssl的另乙個重要作用是防止資料篡改和冒充。 首先,我將解釋資料篡改。
假設市政廳**的某個網頁上顯示著用於稅金繳納的銀行賬戶,納稅人通過這個賬戶繳納稅金。 如果對賬戶資訊進行篡改,則可以從納稅人那裡竊取錢款。
如果您將此市政廳的**設定為ssl,則瀏覽器和伺服器之間的通訊將被加密(https),如果有人在途中篡改資料,您將能夠獲知「資料已被篡改!」。 這樣您就可以丟棄不信任的資料,然後要求傳送者再次傳送它。 這是ssl篡改預防。
那麼,冒充是什麼樣的情況? 還是拿剛剛提到的資料被篡改的市政廳**為例,這次是完全複製**並部署在到了其他伺服器上,而且還設定相同的url,○○市政廳!像這種冒名頂替的事情是完全可能的。
但是,ssl通訊所需的私鑰卻是無法複製的。 在沒有私鑰的情況下嘗試進行ssl通訊,僅使用公開的ssl伺服器證書來執行ssl通訊是不可能的,由於不能保證網域名稱的合法性,瀏覽器端會告訴你:「此主頁雖自稱是○○.jp,但這實際上是乙個不同的站點!」 在這種情況下,許多瀏覽器甚至不顯示該頁面,因此可以防止冒充性破壞。
為了防止篡改和假冒,對於ssl伺服器證書來說,「證書頒發機構」組織的存在就顯得尤為重要。雖然可以在沒有證書頒發機構的情況下實現通訊加密,但是由於證書頒發機構是既不是伺服器也不是計算機的第三方機構,這個組織能保證「這個以○○.jp命名的站點是真正的○○.jp哦!」。
證書頒發機構頒發的「根證書」儲存在計算機或智慧型手機中,它用來驗證從伺服器傳送的ssl伺服器證書和中間ca證書是否是授信的證書頒發機構頒發的。根證書儲存在計算機本身中,惡意第三方很難對其進行篡改。自然,也有惡意攻擊試圖通過安裝惡意根證書來證明惡意ssl伺服器證書的合理性。
根據證書的型別,存在「 ○○.jp是由○○公司運營的站點」這種對運營組織的認證(ov / ev認證)。當您訪問銀行的主頁並單擊鎖定圖示時,將顯示公司名稱,因為您使用的是稱為ev證書的特殊ssl伺服器證書。
到目前為止,什麼是ssl? 我只介紹了皮毛, ssl是一項複雜且難以理解的技術。 能夠達到通過伺服器與ssl化的**通訊的程度,就足以了解私鑰,csr和ssl伺服器證書的作用。
通過了解ssl的侷限性以及了解您可以做和不能做的事情,您將變得更加安全地使用internet。 讓我們藉此機會回顧一下如何使用internet。
sslって何?意味や仕組みをわかりやすく解說!
SSL協議是什麼?
ssl是secure socket layer的縮寫,即安全套接層協議。是由網景 netscape 公司推出的一種安全通訊協議,它能夠對信用卡和個人資訊提供較強的保護。ssl是對計算機之間整個會話進行加密的協議。在ssl中,採用了公開金鑰和私有金鑰兩種加密方法。ssl協議的優勢在於它是應用層協議確立...
SSL證書是什麼
ssl證書是什麼 可能很多人都不太清楚ssl證書是什麼,其實ssl證書概念非常簡單,ssl證書是一種小型的資料檔案,可以將加密金鑰以數字的方式繫結到使用者詳細資訊中。web伺服器安裝了ssl證書以後,就能啟用https協議,使得客戶端瀏覽器與web伺服器之間的通訊建立安全鏈結。https加密傳輸協議...
r n是什麼含義
r是回車符,n是換行符 計算機還沒有出現之前,有一種叫做電傳打字機 teletype model 33 的玩意,每秒鐘可以打10個字元。但是它有乙個問題,就是打完一行換行的時候,要用去0.2秒,正好可以打兩個字元。要是在這0.2秒裡面,又有新的字元傳過來,那麼這個字元將丟失。於是,研製人員想了個辦法...