Engagé dans les programmeurs de développement web ne devrait pas entendu des gens de http et https ces deux mots, même si pas très familier avec devrait également être au courant de la sécurité https que http, https est crypté, et deviendra le grand public à l'avenir remplacera le http et ainsi de suite.
Un peu de compréhension connaîtra la plus grande différence est que l'ancien http et https couverture avec une couche de protocole SSL / TLS basé sur le protocole http, avec le protocole de chiffrement SSL / TLS http paquets avant transmission. Aujourd'hui , nous allons parler de la base du protocole SSL / TLS - certificat .
la science simple, SSL / TLS
(Secure Sockets Layer, anglais: sécurisé Sockets Layer, abréviation: SSL) SSL, une évolution appelée TLS (Transport Layer Security Protocol Anglais: Transport Layer Security, abréviation: TLS), collectivement protocole SSL / TLS, un protocole de chiffrement asymétrique, sont largement utilisés pour l'authentification et le chiffrement de transfert de données entre le navigateur Web et le serveur.
En termes simples, l'accord de principe est le client de l'application Web (par exemple: navigateur) paquets HTTP transmis au serveur avant que les initiés du serveur une demande d'abord dire:
« Je veux utiliser le protocole SSL et vous communications! »
Après avoir reçu la demande, le serveur sait que le client utilise le protocole de communication SSL et sa propre clé publique et le certificat est envoyé au client, le client reçoit le serveur renvoie un certificat et la clé publique, après le certificat de vérification juridique avec une clé publique au serveur http message crypté, puis transmis au serveur.
Ce processus et la poignée de main à trois voies TCP comme, en fait, ce processus est appelé la poignée de main SSL. Après la poignée de main est terminée, le client est crypté avec le paquet de requête HTTP du serveur clé publique sur le serveur, le serveur avec la clé privée aux messages Décrypter reçu HTTP demande, après avoir manipulé la logique métier et revenir à la réponse HTTP avec une clé privée pour chiffrer le message après que le client, le client reçoit un message de réponse HTTP crypté avec une page Web ou les données de clé publique est déchiffré les clients voient le serveur. C'est le processus de travail de https.
certificat SSL est quoi?
De ce qui précède, nous savons sans doute comment cela fonctionne le protocole SSL, qui est le serveur clé du certificat SSL du client. Après les besoins des clients pour vérifier que le certificat est légitime de croire que la clé publique est la clé publique reçue en effet qu'ils veulent accéder au serveur, au lieu d'un virus qui a remplacé le site de faux, qui ne sont pas soumis à des intermédiaires ***, vérifier juridique poignée de main SSL peut être établie.
Alors qu'est-ce qu'un certificat? Comme son nom l'indique, le certificat est en mesure de prouver l'identité du serveur de choses, comment pouvez-vous le prouver? Dans la vraie vie, nous avons est de savoir comment prouver que je me étais et pas faire semblant?
carte d'identité! ! !
Tenir compte de c'est allé à la carte d'identité de bureau Bureau de la sécurité publique, ont notre photo Nom Sexe Lieu de naissance Date de naissance et d'autres informations ci-dessus, montrent nos cartes d'identité aux autres à la recherche d'une carte bancaire de l'emploi sera en mesure d'acheter des billets pour faire pour prouver que je suis moi, et tout carte de crédit nécessaire pour suivre la question a.
Le certificat SSL est l'ID réseau, serveur Avec ce certificat, nous avons l'équivalent de cartes d'identité sera en mesure de prouver qu'ils veulent vraiment le client pour accéder au serveur, pas faux.
certificats SSL proviennent?
certificat SSL est l'identité du serveur, qui est l'endroit où le certificat? Pourquoi devrais-je croire un certificat client?
Nos cartes d'identité sont délivrées par le Bureau de la sécurité publique, approuvé par l'Etat pour nous, il est certainement le crédit du pays Leverage la lettre de personne.
Pour les certificats SSL existent également pour ce rôle au certificat d'approbation du Bureau de la sécurité publique que CA (autorité de certification anglais: autorité de certification, en abrégé CA).
CA est l'autorité responsable de la délivrance et la gestion des certificats numériques, certificat sur le serveur que vous souhaitez apporter votre propre compte de c'est allé demander un certificat de CA, CA après réception du serveur d'application à travers une procédure de vérification très strictes pour prouver que le serveur est en effet le serveur après avoir utilisé son sceau officiel ( clé publique ) à l'autographe du serveur d'applications ( chiffrement après) un certificat est produit.
Ainsi, le serveur envoie le certificat client avec le sceau officiel de l'autorité de certification (signature), après que le client voir le sceau officiel de CA soulagé croire l'identité du serveur.
Vous pouvez voir cela demander pourquoi diable je crois que le CA client? Parce que le système d'exploitation Windows ou Linux, intégré en usine liste Autorités de certification racine de confiance, en fait, gardé la clé publique de l'AC, lorsque le serveur a déclaré que son certificat qui est délivré par l'autorité de certification qui a autorité de certification publique regarder la clé de déchiffrement n'est pas vrai, parce que la clé privée du CA est pas facile de voler ***.
certificat auto-signé est Note de l'éditeur?
CA agréable, mais il y a une question: CA n'est pas Lei Feng, CA Rush est à la recherche de l'argent, et cet argent est OK que nous acceptons uniquement les cartes d'identité transmises frais de 20:
Ce prix est vraiment touchant, pour déboguer le protocole SSL ont également besoin de dépenser de l'argent, il n'est pas une perte de temps si nous certains sites intranet ou nous développons? En plus de l'argent frais est pas d'autre moyen? Vraiment, je l'ai, et c'est un certificat auto-signé.
Nous savons déjà que l'Internet est la carte d'identité officielle CA Bureau de sécurité publique, mais le CA et la réalité du Bureau de la sécurité publique, il y a des différences. Le Bureau de la sécurité publique, en réalité, une seule, qui est la République du Bureau de la sécurité publique de la Chine populaire, d'autres organismes émis faux documents d'identité sont toujours briser la loi.
Cependant, il y a beaucoup d'Internet à la maison CA, et même les individus peuvent posséder une auto radis CA sculpté chapitre, et ce certificat auto-signé CA est appelé un certificat auto-signé. Cependant, le système d'exploitation ne reconnaît que la liste des autorités de certification racine de confiance en ce que plusieurs CA, radis sculpté notre propre chapitre CA construit pour le système d'exploitation est pas sûr, donc qui ouvre un certificat auto-signé dans le navigateur site recevra une carte rouge avertissement suivant:
Mais peu importe la façon dont l'argent est économisé!
enfin
À propos des certificats SSL sur la science à cela, nous savons probablement certificat HTTPS utilisé dans la note de l'éditeur, et savoir aussi pour nos développeurs les plus couramment utilisés est en fait un certificat auto-signé peut être certificat auto-signé ne peut pas être facilement généré, la prochaine fois que je vous donne sur la façon de générer un certificat auto-signé.
Auteur: Chen Siveco
Editeur: Kerry pour la technologie
D'autres articles de haute qualité
[Étude de cas] Comment mettre en œuvre des certificats SSL de gestion et de suivi efficaces?
Comment mettre en place des serveurs privés Artifactory base?