对称加密
加密算法+秘钥(双方持有相同的秘钥),A使用加密算法+秘钥加密文件,B使用加密算法+秘钥解密文件;
演示一个对称加密RC4算法
注意:RC4加密是有漏洞的
明文和秘钥进行异或得到密文,密文和秘钥异或可以直接得到明文。性能非常快
非对称加密
用途1:比如Alice有一对公钥和私钥,他可以将公钥发布出去,你们给我发消息通过这个公钥来加密
用户2:身份验证,Alice使用私钥加密一段数据,只要某一个人使用对应的公钥解密,就知道这个消息确实是Alice发送的
SSL证书的申请
1、首先我们需要CA进行申请证书,之后CA给我们一个公钥和秘钥,CA自己保存公钥
2、将公钥和私钥部署到自己的web服务器
3、浏览器请求https web服务器站点,请求证书,获取web服务器给我们公钥证书,浏览器需要去验证这个证书是否合法和有效性
浏览器如果验证证书的合法性和有效性
CRL服务器存储着过期的证书,形成一个链表,如果请求这个服务器,响应时间长,性能差
OCSP服务器可以就一个证书去查询是否过期,浏览器可以直接请求OCSP,但是性能还不是最好
Nginx有一个OCSP开关,如果打开,Nginx会主动去请求OCSP,所以客户端可以直接从Nginx获取证书的有效性和合法性
SSL证书的类型
DV证书许多都是免费的
浏览器从安全角度对DV,OV,EV证书验证是一样的。唯一验证就是证书链
证书链
目前所有的站点证书都是有三个证书构成(根证书,二级证书,主证书)
浏览器会将二级证书和主证书发送给浏览器
用法(转载))
