【web基础】SSL证书验证流程

最新推荐文章于 2025-02-21 21:24:39 发布
最新推荐文章于 2025-02-21 21:24:39 发布
阅读量2.7k 收藏 11
点赞数
分类专栏: Web2 things 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742184/article/details/100655321
版权

SSL证书验证流程


前置说明

在学习 https 过程中,对于如何防止中间人攻击(MITMA)抱有疑问。

经了解发现,客户端是通过第三方机构 CA(Certificate Authorities)颁发的 SSL 证书验证服务器身份,之后再通过非对称加密的形式,协商对称加密的密钥,以此来实现安全通信。

对于非对称加密协商对称加密密钥这个过程,网上有很多学习资源,但对于 SSL 证书验证服务器身份流程的资源却很少。
所以,为了方便记忆,对SSL证书验证流程进行梳理和记录。

如有错误,请大家指正,谢谢。


一、数字签名

我们都知道,SSL 证书如果需要具有验证身份功能的话,无非是需要保证两点:1、颁发机构权威;2、防篡改。
发放 SSL 证书的机构都知道是 CA 机构,这没什么好说的。
主要是防篡改, SSL 证书是通过 数字签名 的方式,防止中间人(MITM)篡改公钥的。

下面对整个加密验证过程进行梳理。

  1. 首先服务机构向 CA 申请 SSL 证书,提供企业信息,法人联系方式,域名等等企业信息。CA 机构验证后,会先自己生成一个证书,可以理解为可读的明文。(实际上是一个特定格式的数据文件,但此处为了理解做出抽象)
    证书
  2. 验证通过,生成证书后, CA 机构会对明文证书进行Hash,得到摘要信息,并将摘要信息使用 CA 私钥 进行加密得到数字签名。之后将 证书明文内容+数字签名 返回到服务机构。
    在这里插入图片描述
  3. 当客户端和服务器握手时,服务器将 CA 机构生成的 证书明文内容+数字签名 发送给客户端。客户端通过操作系统或者浏览器内置信任的CA机构找到对应CA机构的公钥对数字签名进行解密,然后采用同样的摘要算法计算SSL证书的摘要,如果自己计算的摘要与服务器发来的摘要一致,则证书是没有被篡改过的!
    注意: 一个是CA的公钥,内置在客户端,用来解密数字签名!另一个是目标服务器的公钥,在SSL证书内容里,用来协商对称密钥!
    客户端验证证书是否被篡改原理

总结
  1. 如何防止中间人攻击(MITMA)?
    因为无论是什么机构都是没有 CA 私钥的(只有CA自己有),所以当中间人在修改协商公钥后,无法对数字签名重新加密。即使重新加密,在客户端用 CA 公钥解密后,因为中间人不是采用CA私钥加密的,所以客户端会发现多种摘要信息对比错误(例如企业信息、域名等等),这是就能判断,证书信息被修改过,正在握手的服务器不可信。
参考文章

https://server.zzidc.com/fwqcjwt/2999.html

华为云SSL证书申请流程
邓邓子的博客
04-13 3292
目录一、什么是云证书管理服务?1.什么是SSL证书管理?(1)什么是SSL证书?(2)华为云 SSL 证书管理与 HTTPS 的关系(3)SSL 证书的作用(4)SSL 证书应用场景网站可信认证应用可信认证应用数据传输保护2.什么是私有证书管理(1)企业信息化应用(2)车联网应用(3)物联网应用二、SSL证书申请1.申请 OV 型 SSL 证书(1)购买 SSL 证书(2)申请SSL证书三、SSL证书过期了怎么办? 一、什么是云证书管理服务? 华为云 SSL 证书通过云证书管理服务来进行申请,所以我们首先
SSL证书认证过程
liangweimei的博客
12-25 4951
SSL证书生成及信任过程: 1、SSL Server 自己生成一个 私钥 / 公钥对。server.key/server.pub 2、然后确认申请信息(域名、申请者信息、公钥),最后封装为一个.csr文件(文件内不包含私钥,私钥只在服务端存在)。 3、服务端将申请信息发送到CA,CA通过线上、线下多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法、该组织是否拥有本域名的所有权等。 4、如果信息审核通过,将用 ca.key(CA私钥) 和请求文件加密生成 server.crt(服务器证.
SSL证书以及其验证过程
qwe1765667234的博客
05-03 4823
本文整理了SSL证书的一些知识,主要是对与整个证书验证原理的介绍,不涉及具体的报文细节 SSL证书内容 SSL证书是通信过程中一方的身份证明,用来发送给通信的另一方来证实自己的身份。其内容主要包括一些与自身相关的信息和与证书相关的信息以及自己的公钥。 一些明文信息 自己的公钥 CA的数字签名 CA机构签名过程 CA机构对服务端进行验证后(CA有自己的验证方式,线上或者线下都有),对服务器的明文信息先进行hash,得到摘要,然后用自己的私钥对摘要进行加密,得到数字签名。将签名和证
Https通信中证书验证流程
最新发布
weixin_43967758的博客
02-21 1223
客户端验证服务器证书的有效性是一个多步骤的过程,涉及证书验证、域名匹配、吊销检查等多个环节。但在某些场景下(如自定义客户端或嵌入式设备),可能需要手动处理证书验证逻辑。在 HTTPS 通信中,客户端验证服务器证书的有效性是确保通信安全的重要步骤。检查证书的 Not Before 和 Not After 字段。以下是将您提供的 HTTPS 证书验证流程转换为。返回证书链(服务器证书 + 中间证书)使用中间证书公钥验证服务器证书签名。检查证书的 SAN 或 CN 字段。使用根证书公钥验证中间证书签名。
SSL 验证过程
xinyuan的专栏
07-06 2820
摘 要:SSL利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。本文介绍了SSL的产生背景、安全机制、工作过程及典型组网应用。 缩略语: 缩略语 英文全名 中文解释 AES Advanced Encryption Standard 高级加密标准 CA Certificate Authority ...
SSL认证过程介绍
热门推荐
03-04 1万+
1、SSL概述 安全套接层(Secure Socket Layer,SSL )是一种在两台机器之间提供安全通道的协议。它具有保护传输数据以及识别通信机器的功能。安全通道是透明的,意思就是说它对传输的数据不加变更。客户与服务器之间的数据是经过加密的,一端写入的数据完全是另一端读取的内容。透明性使得几乎所有基于TCP 的协议稍加改动就可以在SSL 上运行,非常方便。 Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通
SSL证书验证原理和https加密
赶路人儿
10-28 5586
SSL证书验证原理,以及https加密原理
可运营的SSL证书在线生成系统源码,附带图文搭建教程
01-12
SSL证书是网络安全领域中的...综上所述,这个“可运营的SSL证书在线生成系统源码”为管理员和用户提供了一套完整的解决方案,从证书申请到证书管理,全程在线操作,大大简化了SSL证书的获取流程,提高了网站的安全性。
阿里云SSL证书免费购买及验证下载教程.docx
09-27
### 阿里云SSL证书免费购买及验证下载教程 #### 一、证书购买 **1.1 证书选购** ...此教程不仅详细介绍了购买和申请过程,还提供了验证和下载的具体指导,旨在帮助初次申请SSL证书的用户轻松完成整个流程
本地生成SSL证书工具CreateCertGUICreateCertGUI
03-14
SSL证书验证网站身份的关键工具,通常由受信任的证书颁发机构(CA)签发。然而,在本地开发环境中,我们可能需要自签发的SSL证书来测试HTTPS连接,这时就用到了"CreateCertGUI"这样的工具。 "CreateCertGUI"是一...
ssl.tar.gz_python openssl_证书_证书验证
09-24
在Python中,你可以设置SSL上下文的验证级别和验证策略,以决定何时进行证书验证。默认情况下,Python会进行基本的验证,但你可以根据需求调整。例如,你可以开启或关闭证书主机名验证: - 如果需要开启主机名验证...
【学习笔记】SSL证书安全机制之证书验证
Taki_UP的博客
09-04 1873
每当Client从Server收到一张证书,有2件事Client需要去验证证书是否有效?Server是否是证书真正的拥有者?本篇将进行详细介绍...
SSL工作过程
xnasda的博客
12-03 7801
SSL介绍: SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)。 SSL协议分为两层: SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。 SS
一文读懂,SSL证书怎么做验证
qq490801481的博客
04-09 499
服务器文件主要是指用户在填写完信息后,提交过后,SSL证书签发系统会生成一个验证值,用户按照要求建立一个文本文档,然后上传到服务器的指定位置下,证书签发系统在验证通过后就会签发证书。选择服务器文件验证方式的用户,在使用前必须要有服务器的管理权限,如果没有管理权限,无法上传文件,那么证书是无法签发的,只能更换其他验证方式。SSL证书目前已经有越来越多的企业网站开始使用,安装SSL证书后,原有的http协议将会变成安全性更好的https加密协议,这对保护用户的信息安全,保障企业及用户的利益起着重要作用。
SSL协议工作过程
ducanwang的博客
01-21 1197
SSL通过握手在客户端和服务器之间建立会话,完成双方。握手过程如所示。除Change Cipher Spec消息属于SSL密码变化协议外,其他握手过程交互的消息均属于SSL握手协议,统称为SSL握手消息。其中,服务器对SSL客户端的身份验证是可选的,即中蓝色部分标识的内容(步骤4、6和8)为可选。图11-2 握手过程示意图SSL客户端发送消息给SSL服务器启动握手,携带它支持的SSL版本和加密套件等信息。SSL服务器响应SSL客户端,携带选定的版本、加密套件。
证书及认证过程
龟速前进
03-02 2292
众所周知,公钥密码学通过使用公钥和私钥这一密钥对,使数字签名和加密通讯等密钥服务变得容易起来。公钥技术之所以能得到广泛的应用,原因就在于对那些使用密钥对中的公钥来获得安全服务的实体,他们能很方便地取得公钥,即密钥分发与管理比起对称密钥的分发与管理变得简单了。所以有人称,非对称密码算法是计算机安全通讯的一次技术革命。 当然,公钥的分发也需要数据完整性保护措施,即需要数据完整性服务来保障公钥不被篡改
服务器双向认证 原理,数字证书双向认证过程详解
weixin_28786293的博客
07-31 770
目前,大量计算机网络都存在被未经授权访问的隐患。为了保护用户的网络及网络传输信息的安全,可以使用证书服务。在许多产品中, 为了提高通信的安全,都需要“证书”服务的支持。例如,Exchange Server、安全Web连接站点(HTTPS)、邮件签名和加密、网上银行在线交易等。Windows Server 2008操作系统中提供证书服务功能,本章将详细介绍证书服务系统的搭建和使用方法:本章内容包括:...
一文读懂SSL认证全解析
sunxunyong的博客
07-02 2922
storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码。
客户端如何验证服务器SSL证书的有效性?
qq_62311779的博客
06-22 2022
客户端需要验证服务器证书中的域名与访问的服务器域名匹配。这可以通过检查证书的 Common Name (CN) 和 Subject Alternative Name (SAN) 字段来完成。证书链通常由服务器证书、中间证书和根证书组成。客户端需要验证从服务器证书到受信任的根证书之间的所有中间证书。每个证书都必须正确地链接到下一个证书,直到到达根证书。CRL 是由 CA 发布的包含所有已吊销证书的列表。OCSP 提供了一种实时检查证书吊销状态的方法。客户端向 OCSP 服务器发送请求,查询证书的吊销状态。
HTTPS与SSL单方证书默认验证机制解析
然而,错误配置SSL/TLS可能导致安全漏洞,比如使用弱加密算法、不更新证书、不正确处理证书验证等,都会给攻击者提供可乘之机。因此,开发者和系统管理员必须确保使用了合适的加密措施,及时更新和维护安全相关的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值