Artikel ini membawa anda pengetahuan yang berkaitan tentang HTTPS, yang terutamanya memperkenalkan cara penyemak imbas mengesahkan sijil digital HTTPS. , serta pengenalan kepada konsep protokol HTTP dan sijil berkaitan Mari kita lihat bersama-sama saya harap ia akan membantu semua orang.
Masalah yang diselesaikan dalam artikel ini adalah seperti berikut:
Tapak web permohonan sijil percuma: https://freessl.cn
Nama domain aplikasi , dan selesaikan ke pelayan
Sijil terikat pada nama domain
Muat turun skrip penggunaan sijil pada pelayan dan gunakan
Dari peringkat tindanan protokol HTTP, kita boleh memasukkan lapisan keselamatan antara TCP dan HTTP, dan semua data yang melalui lapisan keselamatan akan disulitkan atau dinyahsulit ,
Jadi HTTPS menjadi HTTP dan lapisan keselamatan berkomunikasi terlebih dahulu, dan lapisan keselamatan berkomunikasi dengan TCP. Lengkapkan proses penyulitan dan penyahsulitan data pada lapisan keselamatan.
Berdasarkan ciri-ciri di atas, proses penghantaran data menggunakan penyulitan simetri untuk memastikan kecekapan penghantaran data, menggunakan penyulitan asimetri untuk menyelesaikan masalah pendedahan mudah kunci.
Apabila penyemak imbas memulakan pautan jabat tangan https, ia memaklumkan pelayan "senarai suite sifir simetri" dan "senarai suite sifir asimetrik" ia sokongan dan "rawak pelanggan nombor rawak" yang dijana sendiri.
Selepas pelayan menerima permintaan, ia memilih kaedah penyulitan yang menyokong dan memaklumkan penyemak imbas, dan mengembalikan "perkhidmatan nombor data rawak" dan "sijil digital pelayan" serta nombor dikeluarkan kepada pelayan Sijil adalah "sijil digital organisasi CA itu sendiri".
Pelayar mengesahkan kesahihan "sijil digital pelayan" dan "sijil digital organisasi CA Selepas pengesahan berjaya, ia menjana nombor rawak "pra-master" dan menggunakan " sijil digital pelayan" "kunci awam" yang dibawa dalam "sijil digital" menyulitkan nombor rawak "pra-master" dan menghantarnya kepada perkhidmatan untuk pengesahan.
Pelayan menggunakan "kunci peribadi" "sijil digital pelayan" untuk menyahsulit, mendapatkan nombor rawak "pra-master" dan menjawab bahawa penyemak imbas telah menerimanya.
Pelayar menggabungkan nombor rawak yang dijana sebelum ini "rawak pelanggan", "pra-master" dan "rawak perkhidmatan" yang dikembalikan oleh pelayan untuk menjana kunci baharu "rahsia induk ", dan kemudian gunakan kunci baharu untuk menyulitkan data antara pelayan dan pelayan.
Dari manakah datangnya sijil pada pelayan?
Apabila sijil digital yang digunakan untuk organisasi CA digunakan pada pelayan, secara amnya sebagai tambahan kepada sijil digital yang dikeluarkan oleh organisasi CA kepada perkhidmatan (biasanya dikenali sebagai sijil get laluan), terdapat juga "organisasi CA sendiri sijil digital".
Apakah yang disertakan dalam sijil digital yang dikeluarkan oleh CA kepada pelayan?
Sekurang-kurangnya sertakan "maklumat organisasi/peribadi" semasa memohon sijil daripada organisasi CA, "tempoh sah sijil", "kunci awam sijil", "tandatangan digital sijil yang diberikan oleh organisasi CA", "CA maklumat organisasi", dsb.
Hanya sijil pelayan sendiri digunakan pada pelayan. Tiada sijil digital daripada organisasi CA. Apakah yang perlu saya lakukan?
Apabila sijil digital organisasi CA tidak tersedia pada pelayan, penyemak imbas boleh memuat turunnya secara automatik daripada Internet, tetapi ini mungkin memanjangkan masa untuk akses antara muka/halaman pertama, dan mungkin juga gagal.
Pertama, penyemak imbas menggunakan algoritma cincang yang dinyatakan dalam sijil untuk mengira ringkasan maklumat bagi "maklumat teks biasa organisasi "
Kemudian , gunakan kunci awam sijil CA untuk menyahsulit "tandatangan digital" dalam sijil digital dan data yang dinyahsulitkan juga merupakan ringkasan maklumat.
Akhir sekali, tentukan sama ada kedua-dua maklumat ringkasan adalah sama.
Penyelesaian yang mudah dan kasar ialah: sistem pengendalian mempunyai sijil terbina dalam daripada semua organisasi CA, dan diandaikan bahawa sistem pengendalian itu tidak diceroboh dengan niat jahat.
Penyelesaian kompromi adalah untuk membahagikan organisasi CA kepada dua kategori, CA akar dan CA perantaraan Kami biasanya memohon sijil daripada CA perantaraan, dan CA akar digunakan terutamanya untuk pensijilan oleh CA perantaraan. . CA perantaraan boleh memperakui CA perantaraan lain, membentuk struktur pokok, dengan pensijilan peringkat demi peringkat sehingga sijil akar ditemui.
Terdapat rantaian sijil pada sijil Anda boleh mengetahui apakah organisasi peringkat atasan Gunakan algoritma yang sama seperti langkah sebelumnya untuk membenarkan organisasi peringkat atasan mengesahkan ketulenan sijil semasa sehingga ia dikesan kembali ke sijil akar , dan sijil akar hanya perlu ditemui dalam sistem pengendalian untuk tugas itu betul, kerana sijil akar adalah spesifikasi untuk penyemak imbas dan pengeluar sistem pengendalian dalam industri.
Sijil akar terbina dalam semasa memasang sistem pengendalian. Sijil akar terbina dalam ialah sijil berwibawa yang diperakui oleh audit keselamatan antarabangsa WebTrust.
Bagaimana untuk mengesahkan sama ada sijil akar itu sah?
WebTrust ialah piawaian audit keselamatan yang dibangunkan bersama oleh dua persatuan CPA yang terkenal, AICPA (American Institute of Certified Public Accountants) dan CICA (Canadian Institute of Certified Public Accountants) terutamanya mengkaji sistem dan operasi perniagaan penyedia perkhidmatan Internet Sebanyak tujuh item termasuk keselamatan logik dan kerahsiaan tertakluk kepada semakan dan pengesahan yang hampir ketat. Hanya melalui pensijilan audit keselamatan antarabangsa WebTrust sijil akar boleh diprapasang pada sistem pengendalian arus perdana dan menjadi pihak berkuasa pensijilan yang dipercayai.
Sijil CA yang ditandatangani sendiri memerlukan pengguna untuk membina sijil ke dalam fail komputer pengguna terlebih dahulu, atau meletakkannya pada pelayan.
Sijil akar ialah sijil khas yang ditandatangani sendiri.
Pembelajaran yang disyorkan: "Tutorial video HTTP"
Atas ialah kandungan terperinci Ajar anda langkah demi langkah cara mengesahkan sijil digital HTTPS dalam penyemak imbas. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!