文章目录
- 加密与CA证书
- http协议是不安全的
- 使用对称秘钥进行数据加密
- 非对称秘钥加密
- CA证书应用
- 补充
加密与CA证书
CA 证书是什么,证书的目的是什么
首先明确一点,CA证书是数字时代中确保身份和数据安全的重要工具,为用户提供了安心、便捷和可信赖的数字身份认证方式。
http协议是不安全的
在https诞生之前,所有网站都使用http协议,而http协议在数据传输的过程中都是明文,所以可能存在数据泄露和篡改。
使用对称秘钥进行数据加密
为了防止数据泄露和篡改,我们对数据进行加密,如:生成一个对称密码【DKUFHNAF897123F】,将对称秘钥分别交给浏览器和服务器端,他们之间传输的数据都使用对称秘钥进行加密和解密。
请求和响应流程如下:
- 客户端使用对称秘钥对请求进行加密,并发送给服务端。
- 服务端接收到密文之后,使用对称秘钥对密文进行解密,然后处理请求。 最后再使用对称秘钥把要返回的内容再次加密,返回给客户端。
- 客户端接收到密文之后,使用对称秘钥进行解密,并获取最终的响应内容。
如此一来,数据传输都是密文,解决了明文传输数据的问题。但是,这么干有bug。
- 浏览器如何获取对称秘钥?
- 如果每个客户端的对称秘钥相同,浏览器能拿到对称秘钥,那么黑客也可以拿到,所以,数据加密也就没有意义了。
非对称秘钥加密
公钥私钥对儿:公钥负责加密,私钥负责解密: ssh 就是基于此实现
如此一来,解决了 动态对称秘钥 和 数据加密的问题,因为每个用户的对称秘钥都是随机生成且传输的过程中都使用公钥加密(公钥加密的数据只有私钥能解密),所有黑客无法截获对称秘钥。而数据传输是通过对称秘钥加密过的,所以黑客即使能获取数据也无法去解密看到真实的内容。 看似无懈可击,但是,这么干还是又bug:如果黑客在上图 【步骤2】劫持,黑客把自己的公钥返回给客客户端,那么客户端会使用黑客的公钥来加密对称秘钥,黑客在【步骤6】截获请求,使用自己的私钥获取对称秘钥,后面过程全都会完蛋…
CA证书应用
使用 ca 证书可以解决黑客劫持的问题。 自签发ca 证书可以参考https
如此一来,就解决了黑客劫持的问题,因为即使黑客劫持后的给浏览器即使返回了证书也无法通过校验,同时浏览器也会提示错误信息。
https可以保证数据安全,但由过程需要反复加密解密所有访问速度会有所下降(鱼和熊掌不能兼得)。
证书中是存在公钥的。当客户端获取了证书中的公钥后,就可以基于https协议和服务器之间进行加密的数据交互。
补充
除了ca 证书外,在实际工作中,还可以通过 license 来对软件进行鉴权(包括通过machine_code来绑定机器以及设置软件使用有效时长)
