TLS握手证书链的校验

已于 2024-02-24 16:38:25 修改
阅读量1k 收藏 31
点赞数 14
文章标签: 网络协议
于 2024-02-24 16:36:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinamen1/article/details/136272406
版权
本文详细介绍了TLS握手过程中证书链的验证步骤,包括获取证书文件、提取和校验证书、查看和计算签名等。通过实例解析了如何验证从根CA到服务证书的完整性和可信性,确保网络安全。
摘要由CSDN通过智能技术生成

看一遍忘一遍,还是自己写一遍,看看这次能记多久。

在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。

在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。
在这里插入图片描述
首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。

点开细节可以看到证书的更多信息,主要看证书包含什么信息?

  • 签发机构,证书是哪个机构签发的
  • 持有机构,使用证书的机构
  • 证书有效期
  • 证书持有者公钥,用于解密下一级证书或者用于传输加密
  • 指纹哈希算法,对证书内容计算哈希,生成指纹
  • 证书指纹,对证书内容做哈希,用于验证证书没被修改过
  • 证书签名,使用签发机构的私钥对指纹加密生成签名,非对称加密用于安全认证
  • 证书签名算法

假设证书链是根CA颁发证书给中间CA,中间CA给网站颁发服务证书,验证过程是怎么样的?

  • 客户端访问网站,收到服务证书
  • 服务证书的颁发机构是中间CA,在验证服务证书前要验证中间CA,于是先验证中间CA的证书
  • 中间CA的证书由根CA颁发,根CA的根证书内置在浏览器或操作系统中,所以根证书不用验证,可以直接信任
  • 用根证书中的公钥解密中间CA证书的签名,拿到中间CA证书里的指纹,和计算出的指纹对比,一致则说明中间CA证书可信
  • 用中间CA证书中的公钥解密服务证书的签名拿到指纹,和直接计算的指纹对比,一致则服务证书可信
  • 服务证书可信,则证书上的信息是对的,接着检查持有机构是不是要访问的站点,证书有没有过期等
  • 至此,验证了访问的站点服务是可信的,继续后续TLS握手过程

说起来是不是很抽象,使用baidu证书走一遍验证的流程。这里我执行命令的系统是Ubuntu。

1. 获取证书文件

可以看到返回了三级证书,分别对应depth从0到2

openssl s_client -showcerts -connect www.baidu.com:443 </dev/null > baidu.pem
depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018
verify return:1
depth=0 C = CN, ST = beijing, L
最低0.47元/天 解锁文章
伊库塔花花
关注
  • 14
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl证书校验过程
知识需要积累。
02-06 8692
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
证书-证书校验
大力海棠的博客
02-03 8632
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
HTTPS之TLS证书
zijikanwa
11-16 6476
文章目录一. TLS概述1. TLS概述2. `HTTPS` 协议栈与 `HTTP` 的唯一区别3. TLS协议版本二. TLS证书格式1. 概述2. 示例:知乎网站证书解析(mac系统)3. 通过openssl获取证书的含义三. 证书(Certificate Chain)1. 背景2. 概述3. 背景问题的解释参考资料 一. TLS概述 1. TLS概述 TLS 握手的作用之一是身份认证),被验证的一方需要提供一个身份证明。在 HTTPS 的世界里,这个身份证明就是 「TLS 证书」,或者称为
验证证书验证证书
01-22
验证证书 检查证书是不是在证书内的证书下发的。
一文详解 HTTPS 与 TLS证书校验
赶路人儿
11-07 4297
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
openssl验证证书_如何使用OpenSSL验证证书
cunjiu9486的博客
10-08 5683
openssl验证证书X509 certificates provides the authenticity of provided certificates in a chained manner. Internet world generally uses certificate chains to create and use some flexibility for trust. But...
客户端认证https服务端证书过程详解——证书
热门推荐
huzhenv5的博客
02-29 1万+
文章目录基本概念证书CASigning & Verification证书实例CA组织end-user certificates & intermediates certificatesroot certificates其他 基本概念 证书 首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (als...
TCP与TLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture...一文读懂 HTTPS 与 TLS证书校验 https://xiaxl.blog.csdn.net/article/details/106927624 一文详解 TCP与UDP 协议 https://xiaxl.blog.csdn.net/article/details/106223354
谈HTTPS中间人攻击与证书校验(一)1
08-03
证书校验包括验证证书、检查证书状态以及防止版本回退攻击。对于证书,需逐级验证直至根证书,确认签发者在信任列表中。同时,利用Online Certificate Status Protocol (OCSP) 查询证书是否已被吊销。此外,防止...
js代码-协议校验
07-16
2. HTTPS校验:在JavaScript中,通过XMLHttpRequest或fetch API进行HTTPS请求时,浏览器会自动处理SSL/TLS协议的校验,包括证书验证。然而,如果需要自定义校验规则,可以通过设置XMLHttpRequest的`...
https协议读书笔记.zip
07-25
4. 优化证书,减少验证时间。 5. 启用TLS session resumption和session caching,避免重复握手。 **总结** HTTPS协议通过SSL/TLS实现数据加密、身份验证和完整性校验,为互联网通信提供安全保障。理解并掌握...
http与https权威指南
05-26
2. 配置正确的证书:确保服务器上安装了完整的证书,包括根证书、中级证书和服务器证书。 3. 选用安全的加密套件:避免使用已知漏洞的加密算法,如RC4、SHA1等。 4. 定期更新证书:遵循证书的有效期,及时更换...
TLS证书验证过程
新手写博客的专栏
09-19 470
证书颁发机构签发的根证书内包含根证书颁发机构的公钥,并且该根证书嵌入在浏览器中,然后,根证书颁发机构也会用自己的私钥给中间证书颁发机构产生的证书进行签名,接下来,中间证书颁发机构会用自己的私钥给服务器证书进行签名。所以,连接服务器的用户最终拿到的是包含中间证书颁发机构的证书和服务器证书,用户应当用中间证书颁发机构的公钥验证服务器证书的签名,并用保存在自己浏览器的根证书颁发机构的公钥验证中间证书的签名,对吗?中间证书的签名是由根证书颁发机构签发的,客户端验证中间证书是为了建立信任,以验证服务器证书
SSL证书以及其验证过程
qwe1765667234的博客
05-03 4584
本文整理了SSL证书的一些知识,主要是对与整个证书验证原理的介绍,不涉及具体的报文细节 SSL证书内容 SSL证书是通信过程中一方的身份证明,用来发送给通信的另一方来证实自己的身份。其内容主要包括一些与自身相关的信息和与证书相关的信息以及自己的公钥。 一些明文信息 自己的公钥 CA的数字签名 CA机构签名过程 CA机构对服务端进行验证后(CA有自己的验证方式,线上或者线下都有),对服务器的明文信息先进行hash,得到摘要,然后用自己的私钥对摘要进行加密,得到数字签名。将签名和证
CA认证及鉴定过程
非-浪的博客
09-16 1万+
1. 服务端申请证书 将CSR提交给CA,CA一般有2种认证方式: 1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称; 2、企业文档认证,需要提供企业的营业执照 2.客户端鉴定证书 ...
HTTPS加密过程和TLS证书验证
读研功夫
09-17 1330
前言 大家都知道,苹果在2016年WWDC上宣布了关于应用需要强制使用HTTPS的规定。这也算是个好消息吧,虽然开发者们可能需要适配下HTTPS,但是我们的应用可算是披上一个安全的保护罩了。本篇文章就算是笔者在学习HTTPS过程中的一个记录吧。 HTTPS加密过程 最近重新了解了下HTTP和HTTPS: 首先二者都是网络传输协议;HTTPS在传输过程中是可以通过加密来保护数据安全的,以免用户敏感信...
证书的基本原理
sky8336的博客
02-05 4420
证书的基本原理 证书: 由一串数字证书接而成 1、数字证书 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。 由 CA(Certifacate Authority) 负责签发, 关键内容: 颁发者、证书有效期、使用者组织、使用者公钥 等信息。 PKI(Public Key Infrastructure) 规范体系,包含: 数字证书格式定义 密钥生命周期管理 数字签名及验证 问题: CA 是如何签发一张证书? 使用者如何验证证书?
SSL双向认证的认证模式设置问题
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
计算机网络和因特网
最新发布
刘大帅
07-02 507
计算机网络:自顶向下方法 第 1 章
TLS 证书认证的作用是什么
05-14
TLS 证书认证是一种通过使用数字证书验证服务器身份以确保安全通信的方式。它的作用是保护用户在与服务器进行通信时的隐私和安全,防止中间人攻击和数据泄露。TLS 证书认证基于公钥加密原理,通过使用数字证书验证服务器身份,确保通信双方的身份真实可信。 在 TLS 证书认证中,数字证书的颁发机构(CA)起着重要的作用。CA 机构会对服务器的身份进行验证,并颁发数字证书。当客户端与服务器进行通信时,客户端会验证服务器的数字证书是否有效,如果有效则建立安全连接,否则通信过程将被中断。通过这种方式,TLS 证书认证可以保证通信双方的身份真实并且通信过程是安全的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值