服务端生成一对公私钥,私钥自己保留,公钥通过给客户端
客户端通过公钥加密数据后传送给服务端,服务端通过私钥解密收到的数据
只要私钥不泄露,数据都是安全的
但是如果中间有人截取了服务器和客户端的通信,拿到了服务器的公钥,将自己的公钥发送给客户端(客户端不知道公钥到底是谁的)
每次服务器给客户端发数据时,都被中间人截取,中间人用服务器的公钥解密,然后用自己的私钥加密再传给客户端
每次客户端给服务器发数据时,也被中间人截取,中间人用自己的私钥解密(因为客户端用中间人的公钥加密的),然后再用服务器的公钥加密再传给服务器
这样每次信息通信的数据都被中间人拿到了,所以不安全
客户端需要验证服务器的真实性才能保证传输安全,所以可以使用数字证书
服务器先去CA证书中心申请证书,其中包括服务器的公钥,CA用自己的私钥将服务器相关的信息加密
客户端收到服务器数据时,先用CA的公钥解密服务器信息,拿到服务器公钥,然后用服务器公钥解密服务器过来的数据,给服务器传数据也是用服务器的公钥加密了。
如果中间人截取数据,因为用的是自己的私钥加密的,所以浏览器可以分辨出数据不是从真实服务器传过来的。
参考链接:
数字签名是什么? - by 阮一峰
数字签名、数字证书、SSL、https是什么关系? - by 知乎
