对称加密和解密使用相同的密钥。 缺点:将服务器生成的密钥传递给浏览器时容易被中间人劫持。 之后,他可以用钥匙解开双方转发的内容。
不对称加密和解密是不同的密钥,分别是公钥和私钥。 公钥加密内容需要私钥解密,私钥加密内容需要公钥解密,私钥服务器保存,公钥发送到客户端。 客户机随后使用公钥加密发送的内容,服务端使用私钥解密,服务端发送使用私钥加密的内容,客户端使用公钥解密缺点:非对称
不对称加密对称加密服务器端有一对公钥和私钥,用于将公钥发送到客户端。 客户端随机生成对称加密密钥x,使用公钥加密将对称密钥x发送到服务端,服务端使用私钥解密得到对称密钥x。 所有后续内容都使用此对称密钥x进行加密。 这允许您只使用一次非对称加密,然后使用对称加密。缺点中间人攻击。 中介先用假公钥替换服务端发送给客户端的公钥,客户端用假公钥加密对称加密密钥x发送给服务端,中介用假私钥加密得到对称加密密钥x,用真公钥加密对称密钥x,服务端收到后保密这样,中间人就可以安静地得到对称密钥x。
数字证书关键点:客户端必须确认自己获得的公钥是服务端发送的,而不是中间人篡改的,有数字证书。 33558 www.Sina.com/:由ca机构颁发,服务器将数字证书传输给浏览器,浏览器从中获取公钥即可。
数字签名基于证书的内容生成“签名”,客户端可以通过比较证书的内容和签名是否匹配来知道是否被篡改。
数字签名的生成过程是,CA具有非对称加密的公钥和私钥,CA散列证书的明文内容(提高性能)。 由于明文内容较长,散列后可以得到固定长度的信息),用私钥对其进行加密得到数字签名,数字签名和散列的明文数字证书被传输,即使中间人截获并修改证书原文,但他没有CA的私钥,签名也可以客户端得到数据后(因为浏览器是信任的机构,所以浏览器拥有其公钥),公钥解密签名会发现证书和明文不匹配,从而发现被篡改。
中间人可以打包整个证书吗? 不能被篡改,也不能丢失整个证书。 由于证书包含目标站点的信息(包括域名),因此浏览器可以将获得证书的域名与自己请求的域名进行比较,以确定是否存在打包。
每次请求https时是否需要SSL/TLS握手传输密钥? https不需要在每次请求时进行SSL/TLS握手来传输密钥。 由于此过程需要较长时间,因此服务器为每个客户端维护sessionID,在SSL握手阶段完成后,将浏览器生成的密钥传输到服务器,然后服务器将密钥存储在session中,每次浏览器请求时