我理解的SSL

结合我读的关于SSL的相关文章,尤其面试的时候,很多面试官会问到,这里详细总结一下,做一个记录,方便以后复习。

SSL 认证是什么和SSL认证是怎么运作的?

SSL证书创建加密连接建立信任
在线业务最重要的组成部分之一就是创建一个值得信赖的环境,潜在客户才能对此充满信心。 SSL证书通过建立安全连接来建立信任的基础。为了确保访问者的连接安全,浏览器提供了特殊的视觉提示,我们称之为EV指示器-从绿色的挂锁到带有商标的网址栏。

SSL证书具有一个密钥对:一个公共密钥和一个私有密钥(a public and a private key)。这些密钥一起工作以建立加密连接。证书还包含所谓的“subject”,即证书/网站所有者的身份。

要获得证书,您必须在服务器上创建一个证书签名请求(CSR)。此过程需要在服务器上创建私钥公钥。您发送CSR数据SSL证书颁发者(称为证书颁发机构或CA),CSR数据文件包含公钥CA使用CSR数据文件创建一个数据结构以匹配您的私钥,而不会损害密钥本身。 CA永远不会看到私钥。

收到(CA的)SSL证书后,将其安装在服务器上。您还要安装一个中间证书(intermediate certificate),该证书通过将其与CA的根证书绑定在一起来建立SSL证书的信誉。根据服务器的不同,安装和测试证书的说明也会有所不同。

In the image below, you can see what is called the certificate chain. It connects your server certificate to your CA’s (in this case DigiCert’s) root certificate through an intermediate certificate.

在下图中,您可以看到所谓的证书链(the certificate chain)。 它将服务器证书通过中间证书连接到CA的根证书(在本例中为DigiCert)。

图1 - SSL中证书链的调用

SSL证书最重要的部分是由受信任的CA(例如DigiCert)进行数字签名。 任何人都可以创建证书,但是浏览器仅信任来自其受信任CA列表中的组织的证书。浏览器预安装了受信任CA列表,称为受信任根CA存储(the Trusted Root CA store)。 为了添加到“受信任的根CA”存储中并成为证书颁发机构,公司必须遵守浏览器建立的安全性和身份验证标准并接受其审核。(就是要花钱买证书

CA颁发给组织及其域/网站的SSL证书可验证受信任的第三方已验证该组织的身份。 由于浏览器信任CA,因此浏览器现在也信任该组织的身份。浏览器使用户知道该网站是安全的,并且用户可以放心浏览该网站甚至输入其机密信息。

然后,我们再了解SSL技术本身,就理解了它的涵义。

什么是安全套接字层(SSL)?

What is Secure Sockets Layer (SSL)?

SSL是在服务端客户端(最典型的例如web server,a brower, a email server, a mail client)建立加密连接的技术

SSL允许安全地传输敏感信息,例如信用卡号,社会保险号和登录凭据。通常,在浏览器和Web服务器之间发送的数据以纯文本格式发送-使您容易被窃听。如果攻击者能够拦截在浏览器和Web服务器之间发送的所有数据,则他们可以查看和使用该信息。
更具体地说,SSL是一种安全协议。协议描述了应如何使用算法。在这种情况下,SSL协议确定链接和正在传输的数据的可加密部分
所有浏览器均具有使用SSL协议与受保护的Web服务器进行交互的功能。但是,浏览器和服务器需要所谓的SSL证书才能建立安全连接。
SSL每天都会在Internet上保护数百万人的数据,特别是在在线交易或传输机密信息时。互联网用户已经开始将其在线安全性与SSL保护的网站随附的锁定图标或扩展验证SSL保护的网站随附的绿色地址栏相关联。受SSL保护的网站也以https而不是http开头。

SSL认证怎么创建可靠连接的呢?

当浏览器尝试访问受SSL保护的网站时,浏览器和Web服务器使用称为“SSL握手(SSL hand shake)”的过程建立SSL连接(请参见下图)。 请注意,SSL握手对用户是不可见的,并且会立即发生。

本质上,使用三个密钥来建立SSL连接:公共密钥,私有密钥和会话密钥。用公钥加密的任何内容都只能用私钥解密,反之亦然。

由于使用私钥和公钥进行加密和解密需要大量处理能力,因此仅在SSL握手期间使用它们来创建对称会话密钥。 建立安全连接后,会话密钥将用于加密所有传输的数据。

SSL认证流程:

  1. 浏览器连接到使用SSL(https)保护的Web服务器(网站)。 浏览器请求服务器标识自己。

  2. 服务器发送其SSL证书的副本,包括服务器的公钥。

  3. 浏览器根据受信任的CA列表检查证书根目录,并且该证书未过期,未被吊销,并且其公用名对于所连接的网站有效。如果浏览器信任证书,它将使用服务器的公钥创建,加密并发送回对称会话密钥。

  4. 服务器使用其私钥解密对称会话密钥,并发送回用该会话密钥加密的确认,以启动加密的会话。

  5. 服务器和浏览器现在使用会话密钥加密所有传输的数据。

怎么判断我的认证是 SSL or TLS?

  1. TLS = SSLv4.0以及之后的版本。
  2. 买了SSL,就等于买了TLS,“买一送一“。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值