OpenSSL

證書、簽名
服務(wù)器、證書頒發(fā)者、客戶端
生成私鑰和公鑰
客戶端的公鑰放在了哪里？

SSL、TLS

生成會話密鑰
密鑰交換算法
雙方生成同樣的會話密鑰，而不是直接傳遞密鑰（還需要公鑰私鑰嗎？）

摘要算法

傳輸過程中加密

只加密體

保護(hù)加密算法

第三方：CA

交換加密算法

如果就篡改了呢？

算法名稱+鹽（密鑰）

服務(wù)器用私鑰對數(shù)據(jù)進(jìn)行加密，客戶端用公鑰對密文進(jìn)行解密。
客戶端用公鑰對數(shù)據(jù)進(jìn)行加密，服務(wù)器用私鑰對密文進(jìn)行解密。

用公鑰不能改數(shù)據(jù)

ca.公鑰內(nèi)置在了瀏覽器里。

系統(tǒng)自帶一堆證書

CA保證瀏覽器訪問的是真實(shí)網(wǎng)站

抓包怎么能抓到？

客戶端向服務(wù)器交換加密算法，服務(wù)器給客戶端返回加密算法。這個加密算法需要使用服務(wù)器的私鑰再次進(jìn)行加密。服務(wù)器會將自己的公鑰交給CA進(jìn)行管理。CA使用自己的私鑰對服務(wù)器的公鑰進(jìn)行加密，然后發(fā)給客戶端，客戶端內(nèi)部系統(tǒng)會保留CA的私鑰對應(yīng)的公鑰，該公鑰能夠?qū)A私鑰加密的服務(wù)器的公鑰進(jìn)行解密，這樣客戶端就拿到了服務(wù)器的公鑰，利用此公鑰對服務(wù)器加密的加密算法進(jìn)行解密。