數(shù)字簽名的理解：http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

在RSA中，理論上私鑰 不被泄露，那應(yīng)該是安全的，但有一個問題是，遇上類似于中間人攻擊的情況，會把私鑰和公鑰換掉后，加密加簽名一起發(fā)送給被通信端。所以需要一個統(tǒng)一的公鑰認(rèn)證中心（CA） ，當(dāng)向CA注冊證書的時候，CA會用CA私鑰加密通信的公鑰，生成證書頒發(fā)。當(dāng)要解密的時候，解密端只要用CA的公鑰解密對應(yīng)的證書，就能拿到公鑰了，此時得到的公鑰應(yīng)該就是注冊CA的公鑰。

因?yàn)镃A，保證了公鑰的合法性。

秘鑰協(xié)商原理：

https://program-think.blogspot.com/2016/09/https-ssl-tls-3.html#head-1

https://program-think.blogspot.com/2014/11/https-ssl-tls-2.html

秘鑰協(xié)商一般用非對稱方式進(jìn)行秘鑰交換，防止通信信息唄 窺視。

但是秘鑰協(xié)商會有一個問題，就是無法識別可靠的通信端，容易受到中間人攻擊來偷梁換柱。

所以引入了CA公證人這一機(jī)制。

綜上兩處，保證了數(shù)據(jù)不被窺視，同事也防住了中間人攻擊。