要理解HTTPS首先要理解對稱加密和非對稱加密
對稱加密相對來說耗時短,但是安全性差。非對稱加密相對來說耗時長,但是安全性好。
所以HTTPS采用 非對稱加密 來傳輸 對稱加密 所需要的密鑰。通信雙方拿到 對稱加密 所需要的密鑰就對傳輸內容進行對稱加密。兼顧安全性和性能。
這個過程中存在壹個問題,就是可能會被中間人竊取對稱加密密鑰。
其實根本原因在於客戶端並不知道服務器傳輸過來的公鑰是不是屬於對應的服務器。
為了解決中間人攻擊的問題,於是引入了第三方也就是CA機構。由CA機構向服務器發放數字證書(包含服務器公鑰和服務器IP等信息)和CA機構私鑰。數字證書經過哈希算法之後得要壹個哈希值,這個哈希值在經過 CA機構私鑰 加密後得到的就是數字簽名。
最後服務器向客戶端傳輸的是明文數字證書和數字簽名,客戶端用 CA機構公鑰 (從安裝的根證書中獲取)解開CA機構私鑰加密的數字簽名就得到哈希值A,再將數字證書用其中指定的哈希算法處理得到另壹個哈希值B,比對兩個哈希值就知道服務器公鑰有沒有被篡改了。如果沒有被篡改那麽安全的對稱加密鏈接也就建立了。