什么是非对称加密？ SSL证书加密原理

2019年底，https站点数量首次超过50%，这是因为SSL证书使用了非对称加密算法，使配置了SSL证书站点的安全性有质的飞越。那么，什么是非对称加密呢？SSL证书加密原理是什么？为什么它能大幅提升网站的安全性？

什么是非对称加密？

对称加密指的是双方使用相同的密钥进行加密和解密，比如宿舍的锁，房东和你都能用钥匙打开，其他人不行。对称加密的缺点是在传输数据前，双方必须商定好密钥，而且要保管好，一旦一方密钥外泄，那么加密信息也就不安全了。

于是非对称加密诞生了。非对称加密算法有两个密钥：公开密钥和私有密钥。公钥和私钥是一对，当数据使用公钥加密后，只能使用对应的私钥才能解密。公钥是公开的，任何人都能拿到，私钥则只有一方知道。

举个例子，当A生成一对密钥，并将公钥公开后。B想向A发送信息，于是B就使用A公开的公钥，对数据进行加密。信息被公钥加密后，只有A的私钥才能解密，这样一来信息传递就安全了。当A想向B发送信息时，A使用B的公钥进行加密，B拿到加密后的信息后，再用自己的私钥解密即可。

非对称加密算法比对称加密要复杂，因此它的保密性也更好。

SSL证书加密原理

在理解了非对称加密算法后，我们很容易就能理解SSL证书的加密原理。

第一步：客户端向一个https网站发起请求；

第二步：服务器将SSL证书发送给客户端校验，证书中含有一个公钥；

这里需要特别说明一下，客户端到底是如何校验目标网站的SSL证书的。首先，它会在本地电脑上寻找时候有这个SSL证书的CA机构根证书，如果有继续下一步，如果没有，则发出警告。其次，使用CA机构根证书的公钥对该服务器是SSL证书的指纹和指纹算法进行解密，得到指纹算法之后，对服务器证书的摘要进行计算得到指纹。最后，将计算出的指纹和服务器证书解密出的指纹进行对比，如果一样则通过。

第三步：校验成功后，客户端生成一个随机串，然后使用该网站的SSL证书的公钥进行加密，之后发送给网站服务器；

第四步：网站服务器使用自己的私钥解密，得到客户端生成的随机串；

第五步：服务器使用得到的这一随机串，开始与客户端进行对称加密通信；

第六步：客户端使用随机串对服务器发来的信息进行解密；

不难看出，SSL证书同时使用了非对称加密和对称加密，使用非对称加密运送一把“钥匙”给服务器，保证“钥匙”的安全性，服务器得到“钥匙”后，使用这把“钥匙”对信息进行加密，客户端收到加密信息后，再用自己准备的另外一把一模一样的“钥匙”进行解密，设计之精妙令人惊叹！