Story+Graphic，一次解决有关HTTPS认证过程的所有疑问

　　有许多文章解释了HTTPS认证的原则，它也是Web开发的基本知识。但是，这种文章具有过去的特征 - 许多知识点和混乱。

　　证书，签名，公钥，私钥，哈希，加利福尼亚州证书，网站证书，对称的不对称解密...一堆概念被混合在一起，导致许多人说只能说，但不能完全满足它，但不能完全实现。

　　在这里，我将证书发行到数据加密交互中，对过程的解释得到了完全解释，并且在其中散布了图片和问题，以充分解释这一原理。

　　有一天，我制作了一个网站。如果直接向所有人开放，它就没有许可。访问我们网站的每个人都会收到如下浏览器。

　　要解决这个问题，我需要去行业和商业局，也就是说，要获得证书以证明我的网站是安全的。

　　CA代理商要求我提供一系列的应用程序信息，例如身份证和存储信息，以集成到Server.Req文件中并将其提交给他。

　　CA机构将有特别的人进行审查，以确认我的资格和合法性。通过审查后，他们开始发行证书。

　　1.首先，他们觉得我的网站信息太长了，并且不容易用于检查或比较，因此请使用哈希算法（可以是SHA256）将其变成固定的长度字符串。摘要。

　　2.然后，他们邀请了CA机构中的最高领导者，并再次在论文中写下了此摘要加上领导姓名，但是在编写它时，这是一连串难以言喻的线条。这是领导者的独特写作。除了他以外，没有人能模仿。普通百姓根本无法理解。

　　该领导者的名称是CA私钥。这个看似盲目的写作过程称为私钥签名，即摘要重写并暗示他们的名字，但大多数人根本无法理解。

　　3.然后，他们将我的网站信息和CA签名打包到证书中，并将其发布给我，并要求我保持良好状态。如果客户问我，我可以将此证书拿给他们。

　　我怀疑：“您的签名很混乱，没有人理解。客户确认这是法律证书吗？”CA证书机构笑着说：“您只是提供它，只提供它，提供它，提供它。客户有自己的方式。”

　　最终提出的过程的过程如下：

　　那天，我在街上徘徊，不打算找到我非常感兴趣的商店。我进入了商店，但发现这家商店是新开业的。

　　如果我不确定这家商店的合法性，它可能会进入一家黑人商店，并且有可能被屠杀或犯罪。

　　目前，我必须确认该商店的证书是由CA机构颁发的还是他伪造的证书。

　　而且我碰巧知道一个兄弟CA公共密钥（同时生成了公共钥匙），他与CA私钥一起长大。尽管我无法模仿领导者的笔迹，但我几乎无法理解。

　　CA公共密钥确认签名是由CA私钥编写的，可以正确解释签名中的摘要信息。他还将其与商务证书上所有文本生成的新摘要进行了比较，发现它确实是一致，因此他确定这是法律证明。

　　上述过程称为检查，如下所示

　　但是，足以解释足以编写CA私钥的签名。为什么要比较抽象信息？

　　因为签名公共密钥只能识别该词是由私钥编写的，但是私钥曾经为他人写了很多签名。如果伪造者将签名代替了其他常规商店中复制的签名，该怎么办？因此，必须确认签名内容是否与证书上写的商店相同。

　　上面的过程是一个通道身份验证，即客户验证服务器。

　　如果商人担心贫穷的客户，那么客户还可以为客户提供类似于发行过程的证书，以证明他们也是可信的客户。这是两条道路认证。

　　上面的商店和客户通过证书确认了他们的身份。没有被盗。

　　客户打算将金钱（通信数据）放在密码框中，然后设置密码，然后表示。该密码称为“会话密钥”。任何人都可以向任何人打开密码，因此也称为对称密钥

　　但是商店应该如何知道此密码？

　　如果客户直接表达密码框的密码，则路上的小偷会看到密码，稍后发送的钱会被小偷解锁和获得吗？

　　目前，客户记得在当时获得的业务证书中，携带了一个叫做公共密钥的东西。通过此内容，密码框密码可以变成另一个难以言喻的数字。

　　因此，客户使用公共密钥生成了加密密码，并成功将其发送到了商店。

　　商店获得它后，他成功地用自己的私钥解释了密码。然后，商店和客户将密码框设置为密码以进行快速交付。除商店和客户外，每个人都不知道密码是什么，强盗也无法启动。

　　在上述过程中，有几个关键问题。在这里，我可以首先考虑一下，然后阅读答案：

　　问：为什么不使用不对称的密钥加密来传输数据，而是使用对称键来制作这样的大圆圈呢？

　　答：对称算法的解密性能比不对称算法快得多，因此不对称只能用于传输会话密钥，仅一次。

　　问：为什么数据开始传输后数据检查，数据之间的数据不再被篡改或替换？

　　答：不，有3个保证理由：

　　1.会话密钥是一个会话级别，该级别是动态生成的。因此，仅使用此连接。因此，废弃的会话键不必担心别人使用。

　　2.在建立连接并通过会话密钥之前，已经确认对方的身份是可信的。

　　3.没有第三方知道会话密钥是什么。因此，第三方攻击者无法用正确的会话密钥加密数据，即伪造会话密钥欺骗接收器的目的。

　　问：可以伪造CA根证书吗？例如，黑客修改了用户计算机中的CA证书，这导致CA的公钥更换。当黑客稍后将其签署的URL时，签证将成功。

　　答：如果真的可以修改，它是可行的。但是，操作系统基本上将内置在众所周知的CA公钥中。除非黑客可以直接触摸操作系统的底部，否则基本上不会完成。

　　上面的客户是客户（也是浏览器），商店是服务器（网站），工业和商业局是一个值得信赖的CA机构（或在某个领域设置的发行机构）。

　　一些要点总结如下：

　　作者：BreakDraw。