网站SSL安全证书认证的基本过程和原理
现在的网站基本上都迁移到了https协议上,https是http协议的安全升级版本。
在原来的http协议下,如果有人截获了你发送给服务器的报文,就能获取里面的信息,比如用户名乃至密码。
所以http协议单纯从传输层面看是不安全的,其信息安全性得依赖额外的应用层面来保证。
那么如何保证信息交互的安全性呢,一般是通过密钥对的方式,也就是数学算法上可以把一个密钥分成2个部分,
一半是公钥,一半是私钥。公钥加密的信息必须用私钥来解密,反之亦然。
这样即使你发送的信息被黑客截获,在没有私钥的情况下,仍然不能解密你的信息,从而保证了信息传输的安全。
要建立一个https网站,首先需要申请一个安全证书,向证书颁发机构提交一个CSR(证书)文件,这个文件可以通过网站在线生成也可以在服务器上通过命令行(linux上)或者一些界面工具(windows上)来生成。
什么是CSR文件?
CSR全名是Certificate Signing Request,也就是证书签名请求,在生成这个csr文件的时候,通常会同时生成一个key文件,csr文件包含了公钥和申请人的基本信息(比如域名、公司和地址信息等),key则包含了私钥。key文件自己妥善保存不要交给任何人,而把csr文件提交给CA(发证机构),CA使用你提交的相关信息生成证书(通常是一个pem编码格式的文件)。然后你可以在web服务器上安装证书(安装时需要用到key文件)。
HTTPS请求过程
证书安装好后,客户端通过https访问你的网站,其过程如下:
1. 客户端向服务器发送访问请求;
2. 服务器将证书发送给客户端;
3. 客户端开始对证书进行认证:
* 在证书中获取证书的颁发机构字段
* 在系统证书目录下寻找,颁发机构的根证书,如果找到则通过,如果没有找到,给用户弹出提示,由用户选择是否信任该证书
* 验证证书是否过期,证书中的服务器域名字段是否和我们实际访问的服务器域名一致,通过计算证书hash值判断是否被篡改。
4. 证书认证通过后,客户端使用协商好(过程略)的加密方案生成随机码,用作通信过程中的密码,使用服务端证书中获取到的公钥进行加密并发送给服务端;
5. 服务器收到后,使用证书对应的私钥进行解密,获取到对称加密的通信密码;
6. 使用对称加密通信。
HTTPS工作在第几层?
回答这个问题得限定网络模型上下文,如果是OSI模型,那么HTTPS工作在TOP5以上(会话层、表达层和应用层,区分不是那么明确),如果是TCP/IP模型,那么显然HTTPS也是应用层协议。原则上HTTPS是应用层的协议,只不过,在使用HTTPS时,实际上是建立了一个SSL(TLS)连接,把HTTP应用层的数据通过SSL来安全传输,所以从网络传输的角度而言,它是工作在会话和表达层,只是在网络两端会有应用层的加解密处理。
最新评论
- 相关文章
html5跨平台实战-第一周-水平测验-新闻列表页面
这是一个DIV+CSS布局页面的一个实例,主要介绍POSITION定位、导航UL LI的制作、利用浮动原理对页面分栏、分列的页面布局。新闻页面的效果图
如何使用BabylonJS加载OBJ或STL模型
BabylonJS(也就是babylon.js,这是一个和three.js类似的WebGL开发框架),更多的用在游戏领域。
本文说明和演示如何使用babylon.js来加载一个标准3d模型文...创建非矩形网页页面元素的常用技术和实例代码
非矩形设计正在变成一种时尚,比如波浪形、菱形、三角形等:而随着技术发展,这种设计在技术实现上也变得更容易。本文以最简单的三角形为例,演示使用5种方法来...
WebGL Roadmap
Unity 5.0 shipped with a working preview of our WebGL technology in March this year. Since then, Google has disabled (by default) NPAPI support in the...
CSS3原生变量(Native Variables)新特性简介
对Web开发者来说,一个盼望已久的特性是CSS终于支持原生变量了!
变量是程序语言中用来解决代码重复和进行表达式计算的关键概念(想想数学方程式中的x)。...CSS3特性查询(Feature Query: @supports)功能简介
这是2017年不能不了解和学习的一个CSS新特性,非常实用,考虑到现实世界浏览器的复杂性,该特性本应该先于其他新特性出来。我们已经知道使用媒体查询(Media Que...
Web界面编程状态变化和JS开发框架(React/Angular/Ember)
UI编程中的一个关键课题就是界面组件化(可复用)以及组件状态管理。稍早一些的windows程序员可能接触过MFC,其界面编程中有一个DDX(DoDataExchange)的机制,...
Blender2.7 快捷键一览表
通用操作
停止当前操作:ESC
快捷搜索:SPACE撤销:ctrl+z重做:ctrl+shift+z渲染:F12
单选:鼠标右键(RMB)全选:A
框选:B
刷选:...WebVR简介和常用资源链接
什么是WebVR这是一个实验性的JavaScript API,提供了在用户网页浏览器中访问虚拟现实设备的统一接口。当前主流VR设备如Oculus Rift DK2、谷歌的CardBoard、三星...
WebGL入门教程6 - 光照效果和Phong光照模型
正是因为有了光,世界才能被我们看见,在3D的世界里,光照给物体带来真实的视觉感受。当光照射在某一表面上时,它可能被吸收、反射或投射。其中入射到表面上的一...
如何使用WebGL创建一个逼真的下雨动画
之前写过文章来分别讲解如何使用CSS3和Canvas2D实现过雨滴和下雨动画。通过背景处理看起来也有视觉上的3D效果,但并非真正的3D场景,如果要加入用户交互,进行36...
WebGL入门教程3 - Canvas、Context、API和绘制一个矩形
Canvas实例教程:图像移动、大小调整和裁剪
本文介绍如何使用JavaScript和HTML5 Canvas元素来移动、调整大小和...
D3.js读取外部json数据
D3.js是一个很好的数据可视化工具,支持从web服务读取json数据,或者从外部文件如.json, .csv文件中直接读取。由于部分服务比如flickrs上的图文数据服务需要VPN...
如何使用CSS3/SCSS实现逼真的车窗雨滴效果
在天气预报类的Web移动应用中,常常需要实现屏幕的雨滴效果,表示阴雨天气。感觉上比较神奇,其实想通了,这个效果的实现只需要一点物理知识和CSS3的简单变换。实现一个小雨滴首先雨滴是一个个小的椭圆形元素:.raindrop
更多...