瀏覽器是如何做到ssl證書(shū)認(rèn)證的

發(fā)布時(shí)間：2023-09-10

瀏覽器是如何驗(yàn)證ssl證書(shū)認(rèn)證？可能我們用戶對(duì)于ssl證書(shū)認(rèn)證了解不是很多，因?yàn)槲覀優(yōu)g覽網(wǎng)站的時(shí)候一般都是不會(huì)去注意這些信息的，畢竟目前大多數(shù)的網(wǎng)站都是通過(guò)了安全認(rèn)證的，所以不會(huì)存在這方面的問(wèn)題。
ssl證書(shū)
當(dāng)前ssl證書(shū)應(yīng)用越來(lái)越廣泛，我們看見(jiàn)的https網(wǎng)站也越來(lái)越多。點(diǎn)擊https鏈接簽名的綠色小鎖，我們可以看見(jiàn)ssl證書(shū)的詳細(xì)信息。那么瀏覽器是如何驗(yàn)證ssl證書(shū)的呢?
(不太了解ssl證書(shū)的朋友可能有疑問(wèn)，ssl證書(shū)和https看起來(lái)沒(méi)多大聯(lián)系，實(shí)際上是這樣嗎?ssl和https是怎樣的關(guān)系?https=ssl+http，即http下加入ssl層，https的安全基礎(chǔ)是ssl，因此加密的詳細(xì)內(nèi)容就需要ssl。ssl證書(shū)，是遵守ssl協(xié)議的一種數(shù)字證書(shū)，由全球信任的證書(shū)頒發(fā)機(jī)構(gòu)(如wosignca)驗(yàn)證服務(wù)器身份后頒發(fā)。將ssl證書(shū)安裝在網(wǎng)站服務(wù)器上，可實(shí)現(xiàn)網(wǎng)站身份驗(yàn)證和數(shù)據(jù)https加密傳輸雙重功能。)
瀏覽器如何驗(yàn)證ssl證書(shū)
在瀏覽器的菜單中點(diǎn)擊“工具/internet選項(xiàng)”，選擇“內(nèi)容”標(biāo)簽，點(diǎn)擊“證書(shū)”按鈕，然后就可以看到ie瀏覽器已經(jīng)信任了許多“中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)”和“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。當(dāng)我們?cè)谠L問(wèn)該網(wǎng)站時(shí)，瀏覽器就會(huì)自動(dòng)下載該網(wǎng)站的ssl證書(shū)，并對(duì)證書(shū)的安全性進(jìn)行檢查。
提醒大家，由于證書(shū)是分等級(jí)的，網(wǎng)站擁有者可能從根證書(shū)頒發(fā)機(jī)構(gòu)領(lǐng)到證書(shū)，也可能從根證書(shū)的下一級(jí)(如某個(gè)國(guó)家的認(rèn)證中心，或者是某個(gè)省發(fā)出的證書(shū))領(lǐng)到證書(shū)。假設(shè)我們正在訪問(wèn)某個(gè)使用了ssl證書(shū)的網(wǎng)站，ie瀏覽器就會(huì)收到了一個(gè)ssl證書(shū)，如果這個(gè)證書(shū)是由根證書(shū)頒發(fā)機(jī)構(gòu)簽發(fā)的，ie瀏覽器就會(huì)按照下面的步驟來(lái)檢查:瀏覽器使用內(nèi)置的根證書(shū)中的公鑰來(lái)對(duì)收到的證書(shū)進(jìn)行認(rèn)證，如果一致，就表示該安全證書(shū)是由可信任的頒證機(jī)構(gòu)簽發(fā)的，這個(gè)網(wǎng)站就是安全可靠的;如果該ssl證書(shū)不是根服務(wù)器簽發(fā)的，瀏覽器就會(huì)自動(dòng)檢查上一級(jí)的發(fā)證機(jī)構(gòu)，直到找到相應(yīng)的根證書(shū)頒發(fā)機(jī)構(gòu)，如果該根證書(shū)頒發(fā)機(jī)構(gòu)是可信的，這個(gè)網(wǎng)站的ssl證書(shū)也是可信的。
ssl證書(shū)認(rèn)證
1、接受到必須驗(yàn)證資源的請(qǐng)求，網(wǎng)絡(luò)服務(wù)器會(huì)推送certificaterequest報(bào)文格式，規(guī)定手機(jī)客戶端出示客戶端證書(shū)。
2、客戶挑選將推送的客戶端證書(shū)后，手機(jī)客戶端會(huì)把客戶端證書(shū)信息內(nèi)容以clientcertificate報(bào)文格式方法發(fā)給網(wǎng)絡(luò)服務(wù)器。
3、網(wǎng)絡(luò)服務(wù)器認(rèn)證客戶端證書(shū)，驗(yàn)證通過(guò)側(cè)后方可領(lǐng)到證書(shū)內(nèi)手機(jī)客戶端的公開(kāi)密鑰，隨后就剛開(kāi)始https數(shù)據(jù)加密通訊。
ssl手機(jī)客戶端驗(yàn)證選用雙因素認(rèn)證
在大部分狀況下，ssl手機(jī)客戶端驗(yàn)證不但會(huì)借助證書(shū)進(jìn)行驗(yàn)證，通常會(huì)去根據(jù)表格驗(yàn)證組成這種雙因素認(rèn)證來(lái)應(yīng)用。第一位驗(yàn)證因素是ssl客戶端證書(shū)用于驗(yàn)證手機(jī)客戶端電子計(jì)算機(jī)，另外驗(yàn)證要素的登陸密碼則是用于認(rèn)證客戶自己的個(gè)人行為。
ssl手機(jī)客戶端驗(yàn)證造成花費(fèi)
花費(fèi)就是指從權(quán)威認(rèn)證選購(gòu)客戶端證書(shū)的花費(fèi)，及其網(wǎng)絡(luò)服務(wù)器運(yùn)營(yíng)人為確保自身構(gòu)建的權(quán)威認(rèn)證安全性經(jīng)營(yíng)所造成的花費(fèi)。
ssl手機(jī)客戶端驗(yàn)證高效率
當(dāng)應(yīng)用ssl時(shí)，它的響應(yīng)速度會(huì)很慢。ssl的慢分二種。這種就是指因?yàn)楹芏嗪馁M(fèi)cpu及運(yùn)行內(nèi)存資源，造成響應(yīng)速度很慢。和應(yīng)用http對(duì)比，網(wǎng)絡(luò)負(fù)荷將會(huì)會(huì)很慢2到100倍。去除和tcp聯(lián)接，推送http懇求。沒(méi)有響應(yīng)外，還務(wù)必開(kāi)展ssl通訊，因而總體上解決的對(duì)網(wǎng)站流量會(huì)提升。另一點(diǎn)兒是ssl務(wù)必開(kāi)展數(shù)據(jù)加密解決，在網(wǎng)絡(luò)服務(wù)器和手機(jī)客戶端都必須開(kāi)展數(shù)據(jù)加密和破譯解決，相比http會(huì)大量的耗費(fèi)網(wǎng)絡(luò)服務(wù)器和手機(jī)客戶端的硬件平臺(tái)，造成負(fù)荷提高。
認(rèn)為，對(duì)于這一難題，并沒(méi)有全局性的解決方法，能夠應(yīng)用ssl網(wǎng)絡(luò)加速器來(lái)改進(jìn)難題。該硬件配置僅在ssl解決時(shí)充分發(fā)揮ssl網(wǎng)絡(luò)加速器的作用，以分?jǐn)傌?fù)荷。
ssl證書(shū)安裝教程
在https安全證書(shū)下載后，就需要對(duì)證書(shū)進(jìn)行安裝，以下便是小編整理的安裝前和安裝后該注意的一些要點(diǎn)：
一、ssl證書(shū)安裝前的注意要點(diǎn)
（1）挑選適合的ssl證書(shū)；明確是不是必須單獨(dú)，多域或通配符證書(shū)：
1、單獨(dú)證書(shū)將用以單獨(dú)域。
2、多域證書(shū)將用以好幾個(gè)域。
3、通配符證書(shū)適用具備很多動(dòng)態(tài)性子域的安全域。
現(xiàn)階段1024位的證書(shū)數(shù)據(jù)加密較為弱，非常容易被破譯，google也極力推薦應(yīng)用含有2048位密匙的證書(shū)。
（2）必須從可靠的證書(shū)方法組織ca獲得服務(wù)器證書(shū)。
（3）務(wù)必在web服務(wù)器上安裝服務(wù)器證書(shū)。
（4）務(wù)必在web網(wǎng)絡(luò)服務(wù)器上開(kāi)啟ssl作用。
（5）手機(jī)客戶端（電腦瀏覽器端）務(wù)必同web網(wǎng)絡(luò)服務(wù)器信賴相同證書(shū)權(quán)威認(rèn)證，即必須安裝ca證書(shū)。
二、ssl證書(shū)安裝后的注意要點(diǎn)：
（1）ssl證書(shū)安裝以后必須將平臺(tái)網(wǎng)站類應(yīng)用http連接改成https。
（2）必須在百度站長(zhǎng)工具開(kāi)展https驗(yàn)證。
ssl證書(shū)認(rèn)證對(duì)于一個(gè)網(wǎng)站來(lái)說(shuō)是非常有必要的，而且網(wǎng)絡(luò)安全問(wèn)題一直都是大家比較關(guān)注，畢竟隨著網(wǎng)絡(luò)的發(fā)展，也出現(xiàn)了很多網(wǎng)絡(luò)詐騙和信息泄露盜用的案件，所以瀏覽有ssl證書(shū)認(rèn)證的網(wǎng)站就能很好地避免這些問(wèn)題。