窥探系列之数字证书

资料

华为数字证书解读
彻底搞懂HTTPS的加密原理

解读

使用过程

1. 首先，证书持有者拥有一对公私钥；
2. CA机构验证证书申请人身份后，使用CA机构私钥(属于根证书，一般浏览器保有CA的根证书公钥）对申请人的基本信息及公钥进行签名；
3. 这样，申请人就获得了私钥以及一个CA认证的安全证书（终端证书）；
4. 服务器将安全证书（包含申请人的公钥）发送给浏览器；
5. 浏览器会使用CA的根证书的公钥对安全证书进行校验；
6. 校验通过后，浏览器生成一个对称加密秘钥，使用安全证书中公钥对该秘钥进行加密，然后发送给服务端；
7. 服务端接收到加密信息后，使用私钥进行解密；
8. 如此，安全交换秘钥的过程完成了，接下的系统通讯基于对称加密秘钥就行。

解惑

1. 安全证书会被替换吗？

不会。一是证书中包含证书的归属人信息，比如域名等，所以即使中间人也去申请CA证书，但是浏览器能够判断收到的证书的归属人不是期望的；二是如果中间人使用自己生成的证书，当浏览器使用CA根证书的公钥去验证中间人证书会失败。

2. 安全证书会被篡改吗？

不会。篡改证书，使用CA根证书校验时会失败。