1 https原理

https加密請(qǐng)求過程

Client和Server之間會(huì)進(jìn)行一下幾個(gè)步驟的交互：

• ① Client發(fā)送https請(qǐng)求；
• ② Client和Server通過tcp的三次握手建立連接，且協(xié)商完ssl的版本、加密書算法；
• ③ Server發(fā)送crt證書給Client；
• ④ Client通過信任機(jī)構(gòu)CA的證書，驗(yàn)證Server證書的有效性，若證書無效，則顯示告警；若證書有效，Client隨機(jī)生成一個(gè)字符串，并使用Server證書中的公鑰對(duì)隨機(jī)字符串進(jìn)行加密；
• ⑤ Client發(fā)送加密后的隨機(jī)字符串給Server；
• ⑥ Server使用自己的私鑰解密，獲取Client產(chǎn)生的隨機(jī)字符串，此后，Client和Server之間的通信數(shù)據(jù)都使用該隨機(jī)字符串進(jìn)行對(duì)稱加密；
• ⑦ Server使用隨機(jī)字符串加密數(shù)據(jù)，并發(fā)送給Client；
• ⑧ Client使用隨機(jī)字符串解密數(shù)據(jù)；

2 證書類型

證書類型

如圖，SSL 證書按大類一般可分為 DV SSL 、OV SSL 、EV SSL 證書。有的也會(huì)叫做域名型、企業(yè)型、增強(qiáng)型證書，不同的廠商叫法可能有所不同，但差別不大。

1）域名型SSL證書（DV SSL）

即證書頒布機(jī)構(gòu)只對(duì)域名的所有者進(jìn)行在線檢查，通常是驗(yàn)證域名下某個(gè)指定文件的內(nèi)容，或者驗(yàn)證與域名相關(guān)的某條 TXT 記錄；

比如訪問 [http|https]://http://www.domain.com/…/test.txt，文件內(nèi)容： 2016082xxxxx39w7b20nelfa；

或在與域名相關(guān)的DNS服務(wù)器上添加一條 TXT 記錄：http://www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8

2）企業(yè)型SSL證書（OV SSL）

是要購(gòu)買者提交組織機(jī)構(gòu)資料和單位授權(quán)信等在官方注冊(cè)的憑證，證書頒發(fā)機(jī)構(gòu)在簽發(fā) SSL 證書前不僅僅要檢驗(yàn)域名所有權(quán)，還必須對(duì)這些資料的真實(shí)合法性進(jìn)行多方查驗(yàn)，只有通過驗(yàn)證的才能頒發(fā) SSL 證書。

3）增強(qiáng)型SSL證書（EV SSL）

與其他 SSL 證書一樣，都是基于 SSL/TLS 安全協(xié)議，但是驗(yàn)證流程更加具體詳細(xì)，驗(yàn)證步驟更多，這樣一來證書所綁定的網(wǎng)站就更加的可靠、可信。它跟普通 SSL 證書的區(qū)別也是明顯的，安全瀏覽器的地址欄變綠，如果是不受信的 SSL 證書則拒絕顯示，如果是釣魚網(wǎng)站，地址欄則會(huì)變成紅色，以警示用戶。

參考

• https://www.zhihu.com/question/19578422
• https://www.cnblogs.com/taomylife/p/4778006.html
• 騰訊云免費(fèi)證書申請(qǐng)文檔
• 騰訊云免費(fèi)證書申請(qǐng)鏈接
• 網(wǎng)站支持https之一：https原理和SSL證書類型
• 網(wǎng)站支持https之二：騰訊云上免費(fèi)獲取SSL證書的步驟
• 網(wǎng)站支持https之三：Centos7.3 使httpd支持https