简洁版本,快速理解
http
https
加密
加密必须采用非对称算法,不然形同虚设
- 对称算法加密解密的秘钥一致,可以轻松破解
- 非对称加密算法公钥可以解密私钥加密数据,私钥可以解密公钥加密数据;因此客户端持有公钥,私钥只有服务端持有
证书
采用上述rsa加密算法解决数据安全问题
引出新问题,客户端怎么持有公钥,公钥不能通过请求传输给客户端,存在中间人攻击:截取报文,采用自己的公私钥加解密篡改数据,再用原公钥加密回去。因此需要第三方来存储
第三方权威机构给服务端颁发证书,请求时发送给客户端;证书存储浏览器中,每个证书中持有服务端相应的公钥,用于解密服务端数据
同样的问题,第三方也需要对证书内容加密,第三方的公钥怎么传输?
浏览器内置第三方的公钥
CA机构会对证书内容做一次摘要生成数字签名,浏览器收到证书后可以用内置公钥解密验签,得到一样签名表示未被修改。