【安全】CA证书小记
真正的稳定,是自己不断成长,不断寻找新的空间。与其要稳定,不如开始拥抱这个变化的时代,让自己准备好。
【写在前面】
上周五快下班,老大让我查查根证书的东西,看看可能获取到有关的数据,当时我的感觉就是一脸懵逼啊!啥是根证书?通过这几天的学习和实践,对这块的东西有了一点浅薄的认识,我知道来对了地方。
【WHAT - 什么是CA证书】
1.直观感受下:
打开https://www.baidu.com,依次点击1、2,可以看到直观的证书名称信息,单击3可以看到完整的证书链。
查看证书
证书常规信息
证书链
-
CA - 是 Certificate Authority的缩写,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构,作用是检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改,说到底就是一个证书权威机构,类似于现实中的车管所。
-
CA证书 - 顾名思义就是 CA机构颁发的证书 ,也就是我们平时说的数字证书,证书一般包含以下信息:持有者和 CA机构信息,持有者的公钥,类似于现实中的驾驶证。
-
证书链 - 在图示中有3层证书结构, 服务端证书-中间证书-根证书。
(1).其分别是最上层的Root CA,又称根证书,是少数几个可以颁发证书的机构所颁发的证书,所以一般被预制到浏览器或者操作系统中,作为证书链的起点 ,安装根证书意味着对这个CA认证中心的信任。
(2).中间的称为中间证书( intermediates Certificates),用于验证下级公钥持有者的身份;
(3).最下级的是服务端证书( end-user certificates), 用来加密传输数据的公钥的证书,是https中使用的证书。
证书链就是一个信任的关系结构,由于Root CA是可信任的,那么就信任其认证的Validation CA,那么就信任该证书认证的baidu.com证书,而浏览器或者客户端在验证证书有效性时会沿着证书链溯源查找根证书,通过对根证书的信任,来确认当前证书的正确性。
【WHY- 为什么需要CA证书】
1.目前我们知道主流的web服务通信方式有HTTP和HTTPS, http默认采用80作为通讯端口,对于传输采用不加密的方式,https默认采用443,对于传输的数据进行加密传输,很显然我们知道HTTPS的安全性高;下面这张图很形象,所以直接引用(https://blog.51cto.com/11883699/2160032)
HTTP请求
2.HTTPS = HTTP+SSL,而SSL就是负责对数据进行加密,而SSL发展到3.0时又被称作TLS,而使用HTTPS的服务器必须从CA 申请一个用于证明服务器用途类型的证书。HTTPS可以保证数据传输过程的保密性,CA证书可以保证与你通信的站点就是那个站点,非伪造的站点。
3.SSL属于一种公钥加密体系,简单来说,一个SSL证书分为两部分:公钥和私钥。其中私钥会被网站所有者妥善保管,并在服务器端用私钥将网络通讯全部加密;而公钥会在网上广为传播,公钥和私钥可以互相加解密对方的数据。那么有两种方式,其作用是不同。
(1).公钥加密,私钥解密。公钥加密的数据只有持有私钥的一方才能解密成功,进而可以保证数据传输过程的安全性;
(2).私钥加密,公钥解密。这种方式一般用于证明加密者的身份,因为只要使用公钥能正确解密信息,那么足以证明加密的一方是拥有正确私钥的,可以证明加密者的身份。
4.对称密钥和非对称密钥
(1).非对称密钥就是上面说的公钥和私钥。其特点就是安全性高,但是加解密速度慢,所以一般用于握手时使用;
(2).对称密钥,也叫共享密钥,也就是加解密的密钥是一个, 它的最大优势是加/解密速度快,缺点就是管理和分配。
所以一般还是要用对称加密来传送消息,但对称加密所使用的密钥我们可以通过非对称加密的方式发送出去。
【HOW - CA证书是怎么运作的】
流程图
