HTTP中的证书以及签名
需积分: 10 123 浏览量
2018-08-24
14:23:30
上传
评论
收藏 349KB DOCX 举报
1.数字证书:本质也是数字签名。一般的数字签名是私人私钥的、针对一般文件签名,而数字证书则是利用公
认 CA 服务器提供的私钥、针对别人网站公钥文件签名的。这样每次 hps 返回网页时都会动态附上数字证书,
从而让客户端使用真实公钥文件加密提交个人信息。
2.数字证书的产生原因:客户端安全性不高,可能多人相互使用,公钥文件可能被黑或者被偷换。其本质是提
供服务的服务器是不是可信的,即提供的服务器公钥文件是不是你本来想访问那个服务器的公钥文件。
例如:不采用 CA 认证的公钥数字证书时,即按照一般的双方数据通信加密原理:客户端通过浏览器第一次访问
该网站、提醒下载该网站公钥文件到本地、网站为了防止网页被修改而采用数字签名方式加密传输到客户端
浏览器、采用本地刚下载好的该网站公钥文件对数字签名网页文件解密、核对摘要一致性后供用户使用。
问题:某黑客为了获取某人的淘宝账号去搭建了 www.taoba0.com 的网站、且该网站提供与真实网站一样的网
页文件,那么当一般用户在浏览器中点击“淘宝”关键字对应的冒充网站时,那么该用户客户端就会下载冒充网
站的公钥文件,这时候你采用该公钥加密提交数据将被黑服务器提取到。(当然:在 gpg 加密邮件通信时也遇
到公钥是否可信问题,那里是通过询问对方指纹来对比获得公钥文件指纹来确定是否签收该公钥文件。但是
对于傻瓜式使用 Windows 用户来说,让每一个用户去懂校验指纹不太可能)
3.hps://利用数字证书工作过程:(突想:利用区块链完全能够解决这一信任问题)
当客户端端通过浏览器访问网站服务器,经过网站服务器的后台处理将返回相应数字签名的网页文件、以及
将该网站服务器从 CA 认证中心颁发的公钥数字证书附在网页文件内容后,为了加快网络传输采用压缩包传输。
客户端获得该压缩包解压,然后在本机浏览器的”信任根证书颁发机构”中寻找对应的 CA 公钥;利用找到的 CA
公钥先解密数字证书摘要、进行摘要验证、进而获得真正地网站公钥内容以及其他网站相关信息、核对网站
网站公钥证书
CA 认证服务器:将网站公钥文件及
网站等信息其形成摘要、用 CA
服务
器端私钥加密摘要,形成网站公钥证
书。
windows 浏 览 器的 ” 证 书 管 理
器”中存放”受信任的根证书颁
发机构”,从中寻找 CA
认证中
心提供的公钥
将网页文件以数字签名方式传输;同时为
防止客户端的网站公钥被黑,附带传输从
CA 认证中心得到的网站公钥认证证书
hps://发出请求
某 网 站 服 务
器
某
Windows
用户主机
评论0
最新资源