要說明數字簽名、數字證書、SSL、https 這幾者之間的關係,首選需要了解數字簽名的作用和原理。
數字簽名有兩個作用,一是能確定消息確實是由發送方簽名併發出來的。二是數字簽名能確定數據電文內容是否被篡改,保證消息的完整性。數字簽名的基本工作流程如下:
發送加密
1.數字簽名用戶發送電子文件時,發送方通過哈希函數對電子數據文件進行加密生成數據摘要(digest);
2.數字簽名發送方用自己的私鑰對數據摘要進行加密,私鑰加密後的摘要即為數字簽名;
3.數字簽名和報文將一起發送給接收方。
接收解密
1.接收方首先用與發送方一樣的哈希函數從接收到的原始報文中計算出報文摘要;
2.接收方用發送方的提供的公鑰來對報文附加的數字簽名進行解密,得到一個數字摘要;
3.如果以上兩個摘要相一致,則可以確認文件內容沒有被篡改。
4.發送方的公鑰能夠對數字簽名進行解密,證明數字簽名由發送方發送。
以上過程逆向也可以進行,即當文件接受者想要回信時,可以先通過 hash 函數生成數字摘要,再用公鑰加密即可起到文件加密的作用,收信人(數字簽名擁有者)可以用私鑰解密查看文件數字摘要。
函數加密原理
Hash 函數又叫加密散列函數,其特點在於正向輸出結果唯一性和逆向解密幾乎不可解,因此可用於與數據加密。
正向輸出容易且結果唯一:由數據正向計算對應的 Hash 值十分容易,且任何的輸入都可以生成一個特定 Hash 值的輸出,完全相同的數據輸入將得到相同的結果,但輸入數據稍有變化則將得到完全不同的結果。
Hash 函數逆向不可解:由 Hash 值計算出其對應的數據極其困難,在當前科技條件下被視作不可能。
瞭解了數字簽名,再來看一下數字證書的概念:
數字證書
由於網絡上通信的雙方可能都不認識對方,那麼就需要第三者來介紹,這就是數字證書。數字證書由 Certificate Authority( CA 認證中心)頒發。圖解如下:
首先 A B 雙方要互相信任對方證書。然後就可以進行通信了,與上面的數字簽名相似。不同的是,使用了對稱加密。這是因為,非對稱加密在解密過程中,消耗的時間遠遠超過對稱加密。如果密文很長,那麼效率就比較低下了。但密鑰一般不會特別長,對對稱加密的密鑰的加解密可以提高效率。
瞭解完數字簽名的原理和數字證書的概念之後,我們再來系列瞭解 SSL 證書、HTTPS 的關係。
SSL 證書,也稱為服務器 SSL 證書,是遵守 SSL 協議的一種數字證書,由全球信任的證書頒發機構(CA)驗證服務器身份後頒發。將 SSL 證書安裝在網站服務器上,可實現網站身份驗證和數據加密傳輸雙重功能,指網站服務器驗證證書等級。
SSL 證書由瀏覽器中“受信任的根證書頒發機構”在驗證服務器身份後頒發,具有網站身份驗證和加密傳輸雙重功能。
如果 SSL 證書不是由瀏覽器中“受信任的根證書頒發機構”頒發的,則瀏覽器會有安全警告 “此網站出具的安全證書不是受信任的證書頒發機構頒發的,安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據,建議關閉此網頁,並且不要繼續瀏覽該網站。”
目前互聯網常用的 HTTP 協議是非常不安全的明文傳輸協議。而 SSL 協議及其繼任者 TLS 協議,是一種實現網絡通信加密的安全協議,可在客戶端(瀏覽器)和服務器端(網站)之間建立一條加密通道,保證數據在傳輸過程中不被竊取或篡改。
SSL 證書具有服務器身份驗證和數據傳輸加密功能。這個證書總共有 3 個測評等級,其中,EV SSL 證書最高,OV SSL 證書其次,而 DV SSL 證書最弱。
具體而言,DV SSL 證書只驗證域名所有權,僅為加密傳輸信息的作用,並不能證明網站的真實身份;OV SSL 證書是需要驗證網站所有單位的真實身份的標準型 SSL 證書,而 EV SSL 證書則是遵循全球統一嚴格身份驗證標準辦法的 SSL 證書,是目前業界最高安全級別的 SSL 證書。其中,OV SSL 主要在國內網站應用,而 EV SSL 則在國外網站應用更多。靠譜的商用網站一般都會部署 EV SSL 證書或 OV SSL 證書,絕對不會部署已經被欺詐網站濫用的 DV SSL 證書。
如果你想申請SSL證書,不妨來選擇Symantec、Geotrust、Comodo以及RapidSSL等多家全球權威CA機構的SSL數字證書,主機偵探SSL證書商城(http://ssl.idcspy.net/)則是提供多品牌、多類型SSL證書申請和安裝服務,免手續費,全程專業技術指導。
閱讀更多 主機偵探SSL證書商城 的文章
