0 . 为什使用HTTP
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
一 . SSL 分为三种
1.只验证服务器的SSL握手过程
2.验证服务器和客户端的SSL握手过程
3.恢复原有会话的SSL握手过程
二. 只验证服务器的SSL握手过程(即单向认证)
1.浏览器:给出 (1)SSL协议版本号 (2)一个客户端生成的随机数(随机数A)(3)客户端支持的加密方法。
2.服务器:(1)确认加密方法,(2)发出证书cer,(3)发出随机数B
3.浏览器:(1)确认证书有效,(2)使用证书生成随机数C (3)使用证书cer 加密随机数C,发给服务器
4.服务器:利用私钥,得到随机数C.
截止到第四步,服务器:拥有 (1)随机数ABC,(2)双方约定的加密方法 客户端拥有:(1)随机数ABC,(2)双方约定的加密方法
5.服务器:利用加密方法,加密ABC,生成对话秘钥,加密整个对话过程
三. 交互过程中的 对称与非对称
1.握手过程,双方使用的RSA非对称加密方式,非对称加密安全,但是所耗资源大
2.握手完成之后,两者的通信则是使用对称加密方式。对称加密简单,效率比较高
四. 重要概念
1.单向认证: 只要求站点部署了ssl证书就行,任何用户都可以去访问,不需要客户端拥有CA证书。本质:客户端认证服务器,不是假冒的
2.双向认证:相比单向认证,服务器需要认证 客户端。
五.个人 疑惑
0.客户端如何认证 服务器发来的公钥呢?
确定:电脑内安装了一些CA,理解为证书颁发机构,CA可以验证公钥是否是正确的
1.单向认证哪来的 SSL版本信息,难道不需要证书么?不是跟单向认证概念中不需要CA证书冲突了么?
猜想:SSL版本从证书颁发机构读取。
2.双向认证 多了什么?
猜想:在客户端验证完服务器后,本来应该生成随机数C发给服务器的,但是多做了一步:将本地安装的CA证书 公钥 发送到服务器。服务器验证成功 继续 下一步,验证不成功 关闭,
3.单向安全么?
猜测:安全,只能拦截服务器发过来的 加密数据,并不能拦截客户端发送的加密方案,随机数。
六.个人简易总结
1.我 给你 SSL 随机数 加密方案
2.服务器 加密方案不错,我用了,给你一个 证书 和 随机数
3.客户端 这证书是对的,你是真的服务器,再给你一个随机数。
这个时候 都有 ABC 加密方案 ,然后生成一个会话秘钥。进行加密
