浏览器和服务器建立https连接的过程中,浏览器首先会向服务器请求数字证书,之后浏览器要做的第一件事情就是验证数字证书:
- 验证数字证书的有效期
- 验证数字证书是否被吊销
- 验证数字证书是否是合法CA机构颁发
1. 验证数字证书的有效期
数字证书里面就包含了证书的有效期,浏览器只需要判断当前时间是否在有效期内即可
2. 验证数字证书是否被吊销
- 下载被吊销证书列表
- 在线验证
3. 验证数字证书是否合法CA机构颁发
- 数字证书是否是CA机构颁发
1. 浏览器利用数字证书的原始信息计算出信息摘要
2.用CA的公钥解密数字证书的数字签名,解密的数据就是信息摘要
3. 如果两信息摘要相等,则该域名数字证书是由CA机构颁发
- 怎么获取CA的公钥
部署https服务器的时候,除了要部署当前域名的数字证书,还需要部署CA机构的数字证书,
CA机构的数字证书包含了CA公钥以及机构的一些信息。
在建立https连接时,服务器会将当前域名的数字证书、给当前域名签名的CA机构的数字证
书 一同发送给浏览器,因此浏览器就获取到CA公钥。
- 验证CA机构的合法性
将根CA机构的数字证书内置操作系统,只要沿着数字证书链往上追溯到内置操作系统只能的
几个根证书,则认为时合法的。要成为根CA机构,必须要通过webtrust认证,过程十分严
格。