Ajar anda langkah demi langkah cara mengesahkan sijil digital HTTPS dalam penyemak imbas

Artikel ini membawa anda pengetahuan yang berkaitan tentang HTTPS, yang terutamanya memperkenalkan cara penyemak imbas mengesahkan sijil digital HTTPS. , serta pengenalan kepada konsep protokol HTTP dan sijil berkaitan Mari kita lihat bersama-sama saya harap ia akan membantu semua orang.

Masalah yang diselesaikan dalam artikel ini adalah seperti berikut:

• Mengapa anda memerlukan sijil apabila menukar daripada protokol HTTP kepada protokol HTTPS?
• Bagaimanakah protokol HTTPS mencerminkan keselamatan (prinsip protokol HTTPS)?
• Bagaimana untuk mendapatkan sijil yang diperlukan untuk HTTPS secara percuma dan bagaimana untuk menggunakan sijil ke pelayan?
• Bagaimanakah penyemak imbas mengesahkan sijil?
• Apakah yang disertakan dalam sijil?
• Adakah sijil CA dan sijil get laluan adalah perkara yang sama?

Permohonan sijil percuma

Tapak web permohonan sijil percuma: https://freessl.cn

• Nama domain aplikasi , dan selesaikan ke pelayan

• Sijil terikat pada nama domain

• Muat turun skrip penggunaan sijil pada pelayan dan gunakan

Prinsip HTTPS

Dari peringkat tindanan protokol HTTP, kita boleh memasukkan lapisan keselamatan antara TCP dan HTTP, dan semua data yang melalui lapisan keselamatan akan disulitkan atau dinyahsulit ,

Jadi HTTPS menjadi HTTP dan lapisan keselamatan berkomunikasi terlebih dahulu, dan lapisan keselamatan berkomunikasi dengan TCP. Lengkapkan proses penyulitan dan penyahsulitan data pada lapisan keselamatan.

Kaedah penyulitan:

• Penyulitan simetri bermakna kedua-dua pihak menggunakan "kunci yang sama", satu menyulitkan dan satu lagi menyahsulit.
  • Kelebihan: Penyulitan dan penyahsulitan pantas
  • Kelemahan: Kekunci penyulitan mudah terdedah, keselamatan rendah
• Penyulitan asimetri bermakna satu pihak menggunakan penyulitan kunci awam , pihak yang satu lagi hanya boleh menggunakan kunci persendirian untuk menyahsulit, dan kunci awam dan kunci persendirian digandingkan secara unik.
  • Kelebihan: Keselamatan
  • Kelemahan: Penyulitan dan penyahsulitan perlahan

Berdasarkan ciri-ciri di atas, proses penghantaran data menggunakan penyulitan simetri untuk memastikan kecekapan penghantaran data, menggunakan penyulitan asimetri untuk menyelesaikan masalah pendedahan mudah kunci.

• Apabila penyemak imbas memulakan pautan jabat tangan https, ia memaklumkan pelayan "senarai suite sifir simetri" dan "senarai suite sifir asimetrik" ia sokongan dan "rawak pelanggan nombor rawak" yang dijana sendiri.

• Selepas pelayan menerima permintaan, ia memilih kaedah penyulitan yang menyokong dan memaklumkan penyemak imbas, dan mengembalikan "perkhidmatan nombor data rawak" dan "sijil digital pelayan" serta nombor dikeluarkan kepada pelayan Sijil adalah "sijil digital organisasi CA itu sendiri".

• Pelayar mengesahkan kesahihan "sijil digital pelayan" dan "sijil digital organisasi CA Selepas pengesahan berjaya, ia menjana nombor rawak "pra-master" dan menggunakan " sijil digital pelayan" "kunci awam" yang dibawa dalam "sijil digital" menyulitkan nombor rawak "pra-master" dan menghantarnya kepada perkhidmatan untuk pengesahan.

• Pelayan menggunakan "kunci peribadi" "sijil digital pelayan" untuk menyahsulit, mendapatkan nombor rawak "pra-master" dan menjawab bahawa penyemak imbas telah menerimanya.

• Pelayar menggabungkan nombor rawak yang dijana sebelum ini "rawak pelanggan", "pra-master" dan "rawak perkhidmatan" yang dikembalikan oleh pelayan untuk menjana kunci baharu "rahsia induk ", dan kemudian gunakan kunci baharu untuk menyulitkan data antara pelayan dan pelayan.

Soalan:

• Dari manakah datangnya sijil pada pelayan?
  Apabila sijil digital yang digunakan untuk organisasi CA digunakan pada pelayan, secara amnya sebagai tambahan kepada sijil digital yang dikeluarkan oleh organisasi CA kepada perkhidmatan (biasanya dikenali sebagai sijil get laluan), terdapat juga "organisasi CA sendiri sijil digital".

• Apakah yang disertakan dalam sijil digital yang dikeluarkan oleh CA kepada pelayan?
  Sekurang-kurangnya sertakan "maklumat organisasi/peribadi" semasa memohon sijil daripada organisasi CA, "tempoh sah sijil", "kunci awam sijil", "tandatangan digital sijil yang diberikan oleh organisasi CA", "CA maklumat organisasi", dsb.

• Hanya sijil pelayan sendiri digunakan pada pelayan. Tiada sijil digital daripada organisasi CA. Apakah yang perlu saya lakukan?
  Apabila sijil digital organisasi CA tidak tersedia pada pelayan, penyemak imbas boleh memuat turunnya secara automatik daripada Internet, tetapi ini mungkin memanjangkan masa untuk akses antara muka/halaman pertama, dan mungkin juga gagal.

Cara penyemak imbas mengesahkan sijil

Pertama, penyemak imbas menggunakan algoritma cincang yang dinyatakan dalam sijil untuk mengira ringkasan maklumat bagi "maklumat teks biasa organisasi "
Kemudian , gunakan kunci awam sijil CA untuk menyahsulit "tandatangan digital" dalam sijil digital dan data yang dinyahsulitkan juga merupakan ringkasan maklumat.
Akhir sekali, tentukan sama ada kedua-dua maklumat ringkasan adalah sama.

Bagaimana untuk membuktikan bahawa sijil CA itu sendiri tidak dipalsukan?

Penyelesaian yang mudah dan kasar ialah: sistem pengendalian mempunyai sijil terbina dalam daripada semua organisasi CA, dan diandaikan bahawa sistem pengendalian itu tidak diceroboh dengan niat jahat.

Penyelesaian kompromi adalah untuk membahagikan organisasi CA kepada dua kategori, CA akar dan CA perantaraan Kami biasanya memohon sijil daripada CA perantaraan, dan CA akar digunakan terutamanya untuk pensijilan oleh CA perantaraan. . CA perantaraan boleh memperakui CA perantaraan lain, membentuk struktur pokok, dengan pensijilan peringkat demi peringkat sehingga sijil akar ditemui.

Terdapat rantaian sijil pada sijil Anda boleh mengetahui apakah organisasi peringkat atasan Gunakan algoritma yang sama seperti langkah sebelumnya untuk membenarkan organisasi peringkat atasan mengesahkan ketulenan sijil semasa sehingga ia dikesan kembali ke sijil akar , dan sijil akar hanya perlu ditemui dalam sistem pengendalian untuk tugas itu betul, kerana sijil akar adalah spesifikasi untuk penyemak imbas dan pengeluar sistem pengendalian dalam industri.

Bagaimana untuk menyemak kesahihan sijil akar?

Sijil akar terbina dalam semasa memasang sistem pengendalian. Sijil akar terbina dalam ialah sijil berwibawa yang diperakui oleh audit keselamatan antarabangsa WebTrust.

Bagaimana untuk mengesahkan sama ada sijil akar itu sah?

WebTrust ialah piawaian audit keselamatan yang dibangunkan bersama oleh dua persatuan CPA yang terkenal, AICPA (American Institute of Certified Public Accountants) dan CICA (Canadian Institute of Certified Public Accountants) terutamanya mengkaji sistem dan operasi perniagaan penyedia perkhidmatan Internet Sebanyak tujuh item termasuk keselamatan logik dan kerahsiaan tertakluk kepada semakan dan pengesahan yang hampir ketat. Hanya melalui pensijilan audit keselamatan antarabangsa WebTrust sijil akar boleh diprapasang pada sistem pengendalian arus perdana dan menjadi pihak berkuasa pensijilan yang dipercayai.

Sijil yang ditandatangani sendiri

Sijil CA yang ditandatangani sendiri memerlukan pengguna untuk membina sijil ke dalam fail komputer pengguna terlebih dahulu, atau meletakkannya pada pelayan.
Sijil akar ialah sijil khas yang ditandatangani sendiri.

Pembelajaran yang disyorkan: "Tutorial video HTTP"

Atas ialah kandungan terperinci Ajar anda langkah demi langkah cara mengesahkan sijil digital HTTPS dalam penyemak imbas. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!