2021年12月16日08:35:38
一些基礎知識
SSL證書機構即CA機構的全稱為Certificate Authority證書認證中心,只有通過WebTrust國際安全審計認證,根證書才能預裝到主流瀏覽器,成為全球可信的ssl證書頒發機構。
HTTPS (全稱:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全為目標的 HTTP 通道,在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。
HTTPS 在HTTP 的基礎下加入SSL 層,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL。 HTTPS 存在不同於 HTTP 的默認端口及一個加密/身份驗證層(在 HTTP與 TCP 之間)。這個系統提供了身份驗證與加密通訊方法。
目前全球主流的CA機構有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等,其中Symantec、GeoTrust都是DigiCert機構的子公司,
目前市場上主流的ssl證書品牌是Comodo證書、Symantec證書、GeoTrust證書、Thawte證書和RapidSSL證書,還有一些不知名的證書機構也是可以頒發數字證書的。
上面兩個流程圖可以看出瀏覽器是如何校驗證書的有效性的
-
您的 Web 瀏覽器會下載 Web 服務器的證書,其中包含 Web 服務器的公鑰。此證書使用受信任的證書頒發機構的私鑰簽名。
-
您的 Web 瀏覽器安裝了所有主要證書頒發機構的公鑰。它使用此公鑰來驗證 Web 服務器的證書確實是由受信任的證書頒發機構簽署的。
-
證書包含 Web 服務器的域名和/或 IP 地址。您的 Web 瀏覽器向證書頒發機構確認證書中列出的地址是它具有開放連接的地址。
-
您的 Web 瀏覽器會生成一個共享對稱密鑰,該密鑰將用於加密此連接上的 HTTP 流量;這比對所有內容使用公鑰/私鑰加密更有效。
-
您的瀏覽器使用 Web 服務器的公鑰加密對稱密鑰,然后將其發回,從而確保只有 Web 服務器可以解密它,因為只有 Web 服務器擁有其私鑰。
請注意,證書頒發機構 (CA) 對於防止中間人攻擊至關重要。但是,即使是未簽名的證書也會阻止某人被動地偵聽您的加密流量,因為他們無法訪問您的共享對稱密鑰。
對比一下ssl協議的證書和pdf證書的差別
可以看到pdf的證書是不需要ca證書的,自己簽發就可以了。
可以看到證書里面是有相關信息的有http協議,或者ldap協議
注意:
1,中繼dns和中間ca證書,不是唯一的
2,openssl就是自己簽發,php可以直接調用openssl擴展針對客戶信息生成本地簽發的
這里只寫了大概流程,但是具體如何實現一個簽發系統,實現可能遠比這個描述復雜,僅供參考
https的數據通信的話,這里不討論
參考資料:
https://blog.csdn.net/lk2684753/article/details/100160856
https://stackoverflow.com/questions/188266/how-are-ssl-certificates-verified
https://jose.scjtqs.com/linux_about/2017-12-03-1146/%e9%80%9a%e8%bf%87dns%e9%aa%8c%e8%af%81%e6%96%b9%e5%bc%8f%e8%8e%b7%e5%8f%96certbot%e8%af%81%e4%b9%a6.html
https://blog.csdn.net/dl_wdp/article/details/120156716
https://www.cnblogs.com/cposture/p/9029014.html
https://www.cnblogs.com/zhoading/p/8232722.html
https://mp.weixin.qq.com/s/2_iPy3-qh_VuzBCLtOFGxQ