ssl原理详解图解(ssl工作原理)
SSL协议的工作原理
TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息,并颁发认证"证书",同时能够为使用者提供证书验证服务,即PKI体系。
基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行"签名",公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下:
SSL证书的工作原理
SSL证书是如何工作的?
当您收到SSL证书时,您可以在服务器上安装它。您可以安装一个中间证书,通过将SSL证书链接到CA的根证书来建立其可信度。
根证书是自签名的,是基于X.509的公钥基础设施(PKI)的基础。支持HTTPS安全浏览和电子签名方案的PKI依赖于一组根证书。在X.509证书的其他应用中,证书的层次结构证明证书的颁发的有效性。这种层次结构被称为“信任链”
信任链
信任链指的是您的SSL证书及其到可信证书颁发机构的链接。要使SSL证书受信任,它必须追溯到受信任的根CA。信任链确保所有相关方的隐私、信任和安全。
每个PKI的核心是根CA;它充当整个系统的可信完整性源。根证书颁发机构对SSL证书进行签名,从而启动信任链。如果根CA是公共信任的,那么所有主要的internet浏览器和操作系统都会信任链接到根CA的任何有效CA证书。
中间CA(又称从属CA或颁发CA)是将最终证书链接到根证书的后续证书,其中链中的每个证书都由前面的CA签名。
需要中级证书
对于公共受信任的CA,CA/浏览器论坛的基线要求禁止直接从根CA颁发最终实体证书,根CA必须保存在脱机设备(如硬件安全模块(HSM))中。
在建立信任链时,正确配置根证书和中间证书至关重要。如果根CA的私钥受到损害,则会使根证书和所有中间证书不可信。因此,中间CA的主要功能是颁发终端实体服务器证书;这创建了管理SSL证书的能力,而无需根CA的直接操作。
如果中间证书受损,那么根CA只需要撤销中间证书及其任何从属证书,然后创建一个新证书以重新启动链。因此,当根CA在脱机存储中受到保护时,中间CA提供额外的安全级别,从而保持系统的完整性。
SSL协议的工作原理是什么
SSL协议的工作原理如下:
1)握手协议:这个协议负责被子用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
3)警告协议:这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止。SSL协议通信的握手步骤如下:
SSL 是如何工作的?
SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案的文字会通过会话层(Socket)的连接来传送,Socket使两台远程的计算机能利用Internet来通话。通过SSL,资料在传送出去之前就自动被加密了,它会在接收端被解密。对没有解密钥的人来说,其中的资料是无法阅读的。
SSL采用TCP作为传输协议提供数据的可靠传送和接收。SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议,如Telnet、FTP和HTTP提供安全业务。SSL提供的安全业务和TCP层一样,采用了公开密钥和私人密钥两种加密体制对Web服务器和客户机(选项)的通信提供保密性、数据完整性和认证。在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。在所有情况下,服务器通过以下方法向客户机证实自身:给出包含公开密钥的、可验证的证明;演示它能对用此公开密钥加密的报文进行解密。