国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開(kāi)APP
userphoto
未登錄

開(kāi)通VIP,暢享免費(fèi)電子書(shū)等14項(xiàng)超值服

開(kāi)通VIP

首頁(yè)

好書(shū)

留言交流

下載APP

聯(lián)系客服
關(guān)于證書(shū)鏈的一點(diǎn)認(rèn)知
顧名思義,證書(shū)鏈?zhǔn)怯梢淮當(dāng)?shù)字證書(shū)鏈接而成,為了弄清楚這個(gè)概念,先看看什么是數(shù)字證書(shū)。
一、數(shù)字證書(shū)的基礎(chǔ)知識(shí)
數(shù)字證書(shū)是用來(lái)認(rèn)證公鑰持有者身份合法性的電子文檔,以防止第三方冒充行為。數(shù)字證書(shū)由 CA(Certifacate Authority) 負(fù)責(zé)簽發(fā),關(guān)鍵內(nèi)容包括 頒發(fā)s者、證書(shū)有效期、使用者組織、使用者公鑰 等信息。數(shù)字證書(shū)涉及到一個(gè)名為 PKI(Public Key Infrastructure) 的規(guī)范體系,包含了數(shù)字證書(shū)格式定義、密鑰生命周期管理、數(shù)字簽名及驗(yàn)證等多項(xiàng)技術(shù)說(shuō)明,不在這篇筆記中詳細(xì)展開(kāi)。
我們借助下面的流程,看看 CA 是如何簽發(fā)一張證書(shū),使用者又是如何驗(yàn)證這樣證書(shū)的。這又涉及到了數(shù)字簽名技術(shù),數(shù)字簽名技術(shù)又是基于公鑰密碼技術(shù)。
現(xiàn)實(shí)世界中,簽名是針對(duì)承諾的一種表現(xiàn)形式,手手段可以通過(guò)手寫(xiě)簽字或蓋扣印章;而在數(shù)字世界中,簽名仍然是為了表示承諾,只是手段變成了二進(jìn)制。
好,我們來(lái)看看 CA 數(shù)字簽名包括兩個(gè)過(guò)程:簽發(fā)證書(shū)(Signing) 和 驗(yàn)證證書(shū)(Verification)
數(shù)字簽名與驗(yàn)證
簽發(fā)證書(shū)的過(guò)程
撰寫(xiě)證書(shū)元數(shù)據(jù):包括 簽發(fā)人(Issuer)、地址、簽發(fā)時(shí)間、有效期 等,還包括證書(shū)持有者(Owner)基本信息,比如 DN(DNS Name,即證書(shū)生效的域名)、 Owner 公鑰 等信息
使用通用的 Hash 算法(如SHA-256)對(duì)證書(shū)元數(shù)據(jù)計(jì)算生成 數(shù)字摘要
使用 Issuer 的私鑰對(duì)該數(shù)字摘要進(jìn)行加密,生成一個(gè)加密的數(shù)字摘要,也就是Issuer的 數(shù)字簽名
將數(shù)字簽名附加到數(shù)字證書(shū)上,變成一個(gè) 簽過(guò)名的數(shù)字證書(shū)
將簽過(guò)名的數(shù)字證書(shū)與 Issuer 的公鑰,一同發(fā)給證書(shū)使用者(注意,將公鑰主動(dòng)發(fā)給使用者是一個(gè)形象的說(shuō)法,只是為了表達(dá)使用者最終獲取到了 Issuer 的公鑰)
驗(yàn)證證書(shū)的過(guò)程
證書(shū)使用者獲通過(guò)某種途徑(如瀏覽器訪問(wèn))獲取到該數(shù)字證書(shū),解壓后分別獲得 證書(shū)元數(shù)據(jù) 和 數(shù)字簽名
使用同樣的Hash算法計(jì)算證書(shū)元數(shù)據(jù)的 數(shù)字摘要
使用 Issuer 的公鑰 對(duì)數(shù)字簽名進(jìn)行解密,得到 解密后的數(shù)字摘要
對(duì)比 2 和 3 兩個(gè)步驟得到的數(shù)字摘要值,如果相同,則說(shuō)明這個(gè)數(shù)字證書(shū)確實(shí)是被 Issuer 驗(yàn)證過(guò)合法證書(shū),證書(shū)中的信息(最主要的是 Owner 的公鑰)是可信的
上述是對(duì)數(shù)字證書(shū)的簽名和驗(yàn)證過(guò)程,對(duì)普通數(shù)據(jù)的數(shù)字簽名和驗(yàn)證也是利用了同樣的方法。
我們?cè)賮?lái)總結(jié)一下“簽發(fā)證書(shū)”與“驗(yàn)證證書(shū)”兩個(gè)過(guò)程,Issuer(CA)使用 Issuer 的私鑰 對(duì)簽發(fā)的證書(shū)進(jìn)行數(shù)字簽名,證書(shū)使用者使用 Issuser 的公鑰 對(duì)證書(shū)進(jìn)行校驗(yàn),如果校驗(yàn)通過(guò),說(shuō)明該證書(shū)可信。
由此看出,校驗(yàn)的關(guān)鍵是 Issuer 的公鑰,使用者獲取不到 Issuer 的私鑰,只能獲取到 Issuer 的公鑰,如果 Issuer 是一個(gè)壞家伙,誰(shuí)來(lái)證明 Issuer 的身份 是可信的?
這就涉及到一個(gè)信任鏈條了,也是這篇筆記本身要講述的事情,證書(shū)鏈。
二、證書(shū)鏈?zhǔn)鞘裁?div style="height:15px;">
還是以百度為例,在瀏覽器上訪問(wèn) “www.baidu.com” 域名,地址連左側(cè)有一個(gè)小鎖的標(biāo)志,點(diǎn)擊就能查看百度的數(shù)字證書(shū),如下圖所示(使用的是Edge瀏覽器)
百度數(shù)字證書(shū)
在圖片的頂部,我們看到這樣一個(gè)層次關(guān)系:
GlobalSign Root CA -> GlobalSign Organization Validation CA -> baidu.com
這個(gè)層次可以抽象為三個(gè)級(jí)別:
end-user:即 baidu.com,該證書(shū)包含百度的公鑰,訪問(wèn)者就是使用該公鑰將數(shù)據(jù)加密后再傳輸給百度,即在 HTTPS 中使用的證書(shū)
intermediates:即上文提到的 簽發(fā)人 Issuer,用來(lái)認(rèn)證公鑰持有者身份的證書(shū),負(fù)責(zé)確認(rèn) HTTPS 使用的 end-user 證書(shū)確實(shí)是來(lái)源于百度。這類 intermediates 證書(shū)可以有很多級(jí),也就是說(shuō) 簽發(fā)人 Issuer 可能會(huì)有有很多級(jí)
root:可以理解為 最高級(jí)別的簽發(fā)人 Issuer,負(fù)責(zé)認(rèn)證 intermediates 身份的合法性
這其實(shí)代表了一個(gè)信任鏈條,最終的目的就是為了保證 end-user 證書(shū)是可信的,該證書(shū)的公鑰也就是可信的。
證書(shū)鏈
結(jié)合實(shí)際的使用場(chǎng)景對(duì)證書(shū)鏈進(jìn)行一個(gè)歸納:
為了獲取 end-user 的公鑰,需要獲取 end-user 的證書(shū),因?yàn)楣€就保存在該證書(shū)中
為了證明獲取到的 end-user 證書(shū)是可信的,就要看該證書(shū)是否被 intermediate 權(quán)威機(jī)構(gòu)認(rèn)證,等價(jià)于是否有權(quán)威機(jī)構(gòu)的數(shù)字簽名
有了權(quán)威機(jī)構(gòu)的數(shù)字簽名,而權(quán)威機(jī)構(gòu)就是可信的嗎?需要繼續(xù)往上驗(yàn)證,即查看是否存在上一級(jí)權(quán)威認(rèn)證機(jī)構(gòu)的數(shù)字簽名
信任鏈條的最終是Root CA,他采用自簽名,對(duì)他的簽名只能無(wú)條件的信任
證書(shū)鏈逐級(jí)認(rèn)證
說(shuō)到無(wú)條件信任,也不用奇怪,尤瓦爾赫拉里在《人類簡(jiǎn)史》中已經(jīng)闡述過(guò),基于虛構(gòu)故事所建立的信任,最終將人類待到了今天。
還有一個(gè)小問(wèn)題,Root 根證書(shū)從何而來(lái)呢?除了自行下載安裝之外,瀏覽器、操作系統(tǒng)等都會(huì)內(nèi)置一些 Root 根證書(shū),稱之為 Rrusted Root Certificates。比如 Apple MacOS 官網(wǎng)就記錄了操作系統(tǒng)中內(nèi)置的可信任根證書(shū)列表。
macOS High Sierra 中可用的受信任根證書(shū)列表
證書(shū)鏈的基本原理就是這些,有一篇E文專門(mén)講述證書(shū)鏈可供學(xué)習(xí)參考,鏈接如下:What is the SSL Certificate Chain?
數(shù)字證書(shū)是一種普遍使用的身份認(rèn)證方式,而另外一種認(rèn)證方式,基于身份標(biāo)識(shí),也就是和PKI競(jìng)爭(zhēng)的IBC(Identity-Based Cryptography)體系正在興起,學(xué)習(xí)了解中,敬請(qǐng)期待。
持續(xù)學(xué)習(xí),青春永駐!
玉女姐姐
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)
打開(kāi)APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
解讀https的正確姿勢(shì)
電子簽章安全嗎?原理是什么?
加密、數(shù)字簽名、數(shù)字證書(shū)--我的理解
CA、加簽、驗(yàn)簽、RSA算法
vs的tool命令makecert生成數(shù)字簽名證書(shū)
PKI/CA技術(shù)介紹
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服