Vous apprendre étape par étape comment vérifier le certificat numérique HTTPS dans le navigateur

Cet article vous apporte des connaissances pertinentes sur HTTPS, qui présentent principalement comment le navigateur vérifie le certificat numérique de HTTPS , ainsi qu'une introduction aux concepts du protocole HTTP et des certificats associés. Examinons-les ensemble, j'espère que cela sera utile à tout le monde.

Les problèmes résolus dans cet article sont les suivants :

• Pourquoi ai-je besoin d'un certificat lors du passage du protocole HTTP au protocole HTTPS ?
• Comment le protocole HTTPS reflète-t-il la sécurité (principe du protocole HTTPS) ?
• Comment obtenir gratuitement le certificat requis pour HTTPS et comment déployer le certificat sur le serveur ?
• Comment le navigateur vérifie-t-il le certificat ?
• Qu'est-ce qui est inclus dans le certificat ?
• Le certificat CA et le certificat de passerelle sont-ils la même chose ?

Demande de certificat gratuite

Site Web de demande de certificat gratuite :https://freessl.cn

• Application de nom de domaine et résolution sur le serveur

• Le certificat est lié au nom de domaine

• Téléchargez le certificat sur le serveur Déployez le script et déployez

Principe HTTPS

Depuis le niveau de la pile du protocole HTTP, nous pouvons insérer une couche de sécurité entre TCP et HTTP, et toutes les données passant par la couche de sécurité seront cryptées ou déchiffrées ,

Donc HTTPS devient HTTP et la couche de sécurité communique en premier, et la couche de sécurité communique avec TCP. Terminez le processus de cryptage et de décryptage des données au niveau de la couche de sécurité.

Méthode de cryptage :

• Le cryptage symétrique signifie que les deux parties utilisent la "même clé", l'une crypte et l'autre déchiffre.
  • Avantages : Cryptage et décryptage rapides
  • Inconvénients : Les clés de cryptage sont facilement exposées, faible sécurité
• Le cryptage asymétrique signifie qu'une partie utilise la clé publique pour chiffrer et l'autre partie ne peut utiliser que la clé privée pour déchiffrer. La clé publique et la clé privée constituent le seul appariement.
  • Avantages : Sécurité
  • Inconvénients : Cryptage et décryptage lents

Sur la base des caractéristiques ci-dessus, le processus de transmission de données utilise un cryptage symétrique pour garantir l'efficacité de la transmission des données et utilise un cryptage asymétrique pour résoudre le problème de l'exposition facile des clés .

• Lorsque le navigateur initie un lien de prise de contact https, il informe le serveur de la « liste des suites de chiffrement symétriques » et de la « liste des suites de chiffrement asymétriques » qu'il prend en charge et d'un « nombre aléatoire client-aléatoire » auto-généré.

• Après avoir reçu la demande, le serveur sélectionne la méthode de cryptage qu'il prend en charge et informe le navigateur, et renvoie un "numéro de données aléatoire du service" et un "certificat numérique du serveur" ainsi que le "numéro propre de l'autorité de certification" qui a émis le numéro numérique. certificat au serveur Certificat".

• Le navigateur vérifie la validité du "certificat numérique du serveur" et du "certificat numérique de l'agence CA". Après une vérification réussie, il génère un numéro aléatoire "pré-maître" et utilise le "certificat public" porté dans le "serveur". certificat numérique". "Clé" crypte le nombre aléatoire "pré-maître" et l'envoie au service pour confirmation.

• Le serveur utilise la "clé privée" du "certificat numérique du serveur" pour décrypter, obtient le numéro aléatoire "pré-maître", et répond que le navigateur l'a reçu.

• Le navigateur combine les nombres aléatoires générés précédemment "client-random", "pre-master" et le "service-random" renvoyés par le serveur pour générer une nouvelle clé "master secret", puis utilise le nouveau The La clé est utilisée pour crypter les données entre le serveur et le serveur.

Question :

• D'où vient le certificat sur le serveur ?
  Lorsque le certificat numérique appliqué à l'organisation CA est déployé sur le serveur, en plus du certificat numérique délivré par l'organisation CA au service (communément appelé certificat de passerelle), il existe également le « propre certificat numérique de l'organisation CA » .

• Qu'est-ce qui est inclus dans le certificat numérique délivré par l'organisation CA au serveur ?
  Incluez au moins les « informations personnelles/organisationnelles » lors de la demande d'un certificat auprès de l'organisation CA, la « période de validité du certificat », la « clé publique du certificat », la « signature numérique du certificat donnée par l'organisation CA », les « informations sur l'organisation CA ». ", etc.

• Seul le propre certificat du serveur est déployé sur le serveur, et il n'y a pas de certificat numérique de l'organisation CA. Que dois-je faire ?
  Lorsque le certificat numérique de l'organisation CA n'est pas disponible sur le serveur, le navigateur peut le télécharger automatiquement depuis Internet, mais cela peut prolonger le délai d'accès au premier interface/page, et peut également échouer.

Comment le navigateur vérifie le certificat

Tout d'abord, le navigateur utilise l'algorithme de hachage spécifié dans le certificat pour calculer le résumé des informations des "informations en texte brut de l'organisation"
Ensuite, il utilise la clé publique de l'autorité de certification certificat pour décrypter le "dans le certificat numérique" "Signature numérique", les données décryptées sont également un résumé des informations.
Enfin, déterminez simplement si les deux informations récapitulatives sont égales.

Comment prouver que le certificat CA lui-même n'est pas falsifié ?

La solution simple et grossière est la suivante : le système d'exploitation dispose de certificats intégrés de toutes les organisations d'autorité de certification, et on suppose que le système d'exploitation n'a pas été envahi de manière malveillante.

Le compromis consiste à diviser l'organisation de l'autorité de certification en deux catégories, l'autorité de certification racine et l'autorité de certification intermédiaire. Nous demandons généralement des certificats à l'autorité de certification intermédiaire, et l'autorité de certification racine est principalement utilisée pour la certification par l'autorité de certification intermédiaire. L'AC intermédiaire peut certifier d'autres AC intermédiaires, formant une arborescence, avec une certification niveau par niveau jusqu'à trouver le certificat racine.

Il existe une chaîne de certificats sur le certificat. Vous pouvez découvrir quelle est l'organisation de niveau supérieur. Utilisez le même algorithme que l'étape précédente pour laisser l'organisation de niveau supérieur confirmer l'authenticité du certificat actuel jusqu'à ce qu'il soit retracé. retour au certificat racine. Le certificat racine n'a besoin que d'être trouvé dans le système d'exploitation, car le certificat racine est la norme industrielle pour les fabricants de navigateurs et de systèmes d'exploitation.

Comment vérifier la légitimité du certificat racine ?

Le certificat racine est intégré lors de l'installation du système d'exploitation. Le certificat racine intégré est un certificat faisant autorité certifié par l'audit de sécurité international WebTrust.

Comment vérifier si le certificat racine est légal ? Le navigateur vérifie si le certificat racine existe dans le système d'exploitation. Sinon, il est illégal, et vice versa.

WebTrust est une norme d'audit de sécurité développée conjointement par deux associations de CPA bien connues, l'AICPA (American Institute of Certified Public Accountants) et l'ICCA (Canadian Institute of Certified Public Accountants). Elle vérifie principalement la sécurité et la confidentialité des fournisseurs de services Internet. ' systèmes et logique de fonctionnement de l'entreprise. Au total, sept éléments ont été soumis à un examen et à une vérification presque rigoureux. Ce n'est que grâce à la certification internationale d'audit de sécurité WebTrust que le certificat racine peut être préinstallé sur les systèmes d'exploitation courants et devenir une autorité de certification de confiance.

Certificat auto-signé

Le certificat CA auto-signé nécessite que l'utilisateur crée au préalable le certificat dans le fichier informatique de l'utilisateur ou le place sur le serveur.
Le certificat racine est un certificat spécial auto-signé.

Apprentissage recommandé : "Tutoriel vidéo HTTP"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!