HTTPS是基于SSL的HTTP,底层选用安全的交互机制。每次交互都是加密的。
SSL使用40 位关键字作为RC4流加密算法
,这对于商业信息的加密是合适的。通常的RSA加密是1024bit,强度很高,但也很慢。
(1) 服务器向客户端发送一个证书
(2)客户端验证该证书是否合法(来自权威CA),大多数情况下会提示该证书无法认证,因为要向CA申请证书是要花钱的。银行网站一般会自己做一张证书,这种证书windows都无法成功验证。不管怎样,选择信任该证书就行了。
(3) 客户端产生一对密钥,把公钥发给对方。
怎么发给对方呢?就是用证书里的密钥进行加密,发送给服务器,服务器再用与证书对应的私钥进行解密,得到客户端的密钥。即使有人截获到了这个消息,因为无法解密。
(4) 现在客户端有一对密钥,服务器也有一对密钥。且双方都知道对方的公钥。
它们现在可能通讯了。自己的私钥对内容加密,发送给对方。接收到对方的回复后,用对方的公钥进行解密,得到回复。
(具体什么叫RC4并不清楚)
SSL使用40 位关键字作为RC4流加密算法
(1) 服务器向客户端发送一个证书
(2)客户端验证该证书是否合法(来自权威CA),大多数情况下会提示该证书无法认证,因为要向CA申请证书是要花钱的。银行网站一般会自己做一张证书,这种证书windows都无法成功验证。不管怎样,选择信任该证书就行了。
(3)
(4) 现在客户端有一对密钥,服务器也有一对密钥。且双方都知道对方的公钥。
(具体什么叫RC4并不清楚)