抽象的https原理简介

前言

小明和小美是一对好朋侪，他们分隔两地，平常经常写信沟通，但是偶然被小明发现他回给小美的信似乎被人拆开看过，甚至偷偷被篡改过。
对称加密算法

开头的通信过程比较像HTTP服务器与客户端的通信过程，全明文传输，第三方比较轻易在传输线路的任何节点上抓包获取到传输内容，甚至篡改。
碰到这种事情，小明立刻就想到了要把写信的内容加密再传输，如许就安全了，常见的对称加密算法有好多种：AES、DES、ChaCha20等，他们的共同特点就是加密解密用的是同一个密钥。
剩下的就是得把加密写信的想法以及密钥告诉小美了，但这里就尴尬了，由于小明和小美只能写信沟通，假如小明把密钥放信里寄已往，哪个险恶的邮递员拆开看了，那么也就拿到了密钥，后续的所有信件他都可以解密查看甚至一样可以篡改。
非对称加密算法

小明意识到只用这种对称加密算法是行不通的，但是聪明的小明马上就想到了可以用非对称加密算法，常见的非对称加密算法：RSA、DSA等，他们的共同特点就是加密解密用的是差别的密钥，俗称公钥和私钥。
公钥加密的内容，只有私钥可以解密出来，私钥加密的内容，也只有公钥可以解密出来。但是这种加密算法很复杂，加解密服从很低，特别是加密内容很长的时候，以是不能用非对称加密算法加密整个信件内容，于是想到让小美每次复书都天生随机的对称密钥，非对称加密算法只用来加解密这个比较短的对称密钥，加解密信件内容还是用服从比较高的对称加密算法。
虽然开始有点绕了，但是这也难不倒小明，他立刻天生了一对公私钥，私钥自己留着，公钥写信寄给小美，而且告诉小美让她随机天生一个对称加密算法密钥，信件内容用这个对称加密算法加密，然后密钥本身再用公钥加密，一起写复书寄返来。
险恶的邮递员小黑再次截获到了这封信，拆开一看马上就意识到不妙，这封信一旦寄到小美手中，小美按照信中提到的方案加密复书的话，那么天下上就只有具有私钥的小明能解密看懂信件了，这可不行，以是小黑一不做二不休直接自己天生了一对公私钥对，拿自己的公钥更换掉了这封信里的公钥，然后寄给小美。
小美也确实按照这套加密方案加密复书了，但是用的是小黑更换过的公钥，以是小黑可以用他的私钥解密乐成了，但是如许的复书肯定不能直接转给小明了，由于公钥被换过小明是解不了的，以是小黑再用之前小明的公钥加密 他已经解密后的内容，再寄给小明，虽然往返的加解密很贫苦，但是总算神不知鬼不觉的完成了信息截获。
数字证书

小明也是马上意识到了这此中的毛病，冥思苦想还是觉得这个公私钥对不能由自己天生，自己天生的公钥小美完全没办法判断是不是真的。
这时一个权威的第三方大佬大壮出现了，小明可以去大壮那里申请公私钥对，但是这个公钥就不是单纯的公钥了，而是放在一个叫做数字证书的翰札里面，翰札的内容包含以下信息：

• 公钥
  
• 证书归属者：小明
  
• 证书签发者：大壮
  
• 证书有效期：2025-04-18 ～ 2025-07-19
  
• 证书署名：以上信息哈希摘要后，用大壮的顶级私钥加密天生的
  

以上4个信息打包放一起，称之为数字证书。
但是大壮又是如何包管数字证书里的公钥不能被更换呢？这里就的得证书里的署名，以及大强大佬的身份了，大壮和所有的房地产开辟商都是合作关系，所有房屋制作完后都内置了大壮的顶级证书，里面包含了大壮的顶级公钥。
之后小明写信直接把从大壮那申请的数字证书带上，同样是要求小美用上一节的方案天生密钥加密传输。这时险恶的小黑同样拦截到了这封信，而且把证书里的公钥换掉了，再发给小美，小美拆开信起首做的就是把数字证书拿出来，把前三个信息：公钥、证书归属者、证书签发者哈希摘要，然后拿出证书署名用自己家里内置的顶级公钥解密这个署名也得到了一个哈希摘要值，对比两个值居然不一样！说明证书已经被人篡改了，说明有内鬼交易终止！
虽然小黑也可以去大壮那里申请数字证书，但是拿到的数字证书证书归属者会写着小黑，如许就算更换证书，小美一眼就看出来这不是小明的证书了。
至此小黑再也没法偷看小明小美之间的信件了，除非他直接冲到小美家里把她家内置的顶级公钥给换了，或者直接去把大壮的顶级私钥搞得手，当然他是没这个胆子和本事的。
证书链

大壮的证书签发买卖做的红红火火，越来越多的人找大壮签发证书，但是大壮一个人有点力有未逮，毕竟签发证书用的私钥让任何其他人帮忙都很伤害，一旦他的顶级私钥泄露，他的买卖就完蛋了。这里就表现出了基于根证书签发下级证书的局限性：

• 经常拿着顶级私钥去签发下级证书，难免会出意外被人偷走，最好锁起来不要经常拿出来
  
• 必要证书的人太多了，大壮帮不过来
  

以是大壮想到一个方案，找到一个可以信任的伙伴大强，只必要签发一个中央证书和中央私钥给大强，证书包含以下信息：

• 中央证书公钥
  
• 证书归属者：大强
  
• 证书签发者：大壮
  
• 证书有效期：2025-04-18 ～ 2099-12-31
  
• 证书权限：签发写信证书
  
• 证书署名：以上信息哈希摘要后，用大壮的顶级私钥加密天生的
  

大强拿着这个中央证书开办了一家新的证书签发机构，又可以签发下级证书了，但是他签发的下级证书跟大壮签发的不太一样，他签发的证书实际会包含两个证书，类似以下内容：

1. =======证书开始=======
2. 1. 中间证书公钥
3. 2. 证书归属者：大强
4. 3. 证书签发者：大壮
5. 4. 证书有效期：2025-04-18 ～ 2099-12-31
6. 5. 证书权限：签发写信证书
7. 6. 证书签名：以上信息哈希摘要后，用大壮的顶级私钥加密生成的
8. =======证书结束=======
10. =======证书开始=======
11. 1. 写信公钥
12. 2. 证书归属者：小明
13. 3. 证书签发者：大强
14. 4. 证书有效期：2025-04-18 ～ 2025-12-31
15. 5. 证书权限：仅用于写信
16. 6. 证书签名：以上信息哈希摘要后，用大强的私钥加密生成的
17. =======证书结束=======

复制代码

这回小美收到信，拿到这个证书就必要先校验最后这个证书，这个证书可信后，根据证书签发者：大强，找到上级证书再用家里的顶级公钥校验这个上级证书，假如也可信，就算是整个证书链都可信了。
之以是证书信息里有个证书权限信息，就是为了防止一些只用来写信的证书，被人拿来签发下级证书。基于这个原理甚至可以签发下级中央证书，形成好几个证书串联起来的证书链。
至此大壮终于可以躺平赚钱了。。。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。