数字证书认证知识

永安维修

数字证书认证知识

数字证书认证机构（Certificate Authority，缩写为CA）。
我们知道，服务器不能将非对称加密产生的公钥直接告诉你，因为中间人可能截获这个公钥进行解密篡改，加密，传输。所以想一个下下策了，成立一个官方组织，由它来作认定。服务器会将产生的公钥交给他，让他进行登记，他登记后会给我发一个证书，来证明我是我。证书中含有我的公钥内容，还包含一些其他信息，比如我是哪个公司的，域名是什么，谁给我的这个证书等等。本来我应该给你公钥的，现在变了，我给你发送一个我的证书，你拿着这个证书去找 CA 质问，这个证书是真的吗，CA 会匹配公钥和证书内的其他信息，看是否真的在他那儿注册过了，如果确认是真的，那就说明证书没被中间人篡改，那你就可以大胆的用证书中的公钥进行加密。当然，数字证书也可能被第三方截获，第三方也得到公钥信息，也可以解密服务器传来的信息，那么，我们让浏览器先设置对称加密的密码的，将密码用公钥加密，传输给服务器，第三方只有公钥，解不开密码，而服务器可以解开，之后就可以通过对称加密的方式进行通讯了，我们就可以安全的传输数据了，再也不怕中间人偷窥了。一般浏览器在操作系统中内置的一些顶级 CA 信息来验证对方证书的真实性，如果证书有问题，浏览器会发出提示。