客户端通过服务端下发的证书，找到对应的 CA，然后向 CA 验证这个证书是否有效，CA 验证通过之后，下发服务端的公匙。

因为 CA 是权威并且可信的，所以客户端 (浏览器) 信任 CA，而 CA 又信任经过认证的服务端 ，所以客户端 (浏览器) 也信任这个服务端，这就是信任链 (Chain Of Trust)。

而 CA 颁发的数字证书，一般包含这些信息：

简单来说：为了保证公匙是安全的，所以通过数字证书验证公匙。

加密通信

一条完整的HTTPS请求应该是这样的：

1. 客户端 (浏览器) 发起 HTTP 请求，请求连接服务端，发送支持的加密通信协议 (和版本)，并且生成一个随机数，后续用于生成"对话密钥"。

2. 服务端确认加密通信协议 (和版本)，同时也生成一个随机数，后续用于生成"对话密匙"，并且将 CA 颁发的数字证书，一起发送给客户端。

3. 客户端收到数字证书后，检测内置的"受信任的根证书颁发机构"，查看解开数字证书的公匙是否在。

4. 如果解开数字证书的公匙存在，则使用它解开数字证书，得到正确的服务器公匙，同时再次生成一个随机数，用于服务器公匙加密，并发送给服务器。

5. 此时本地和服务器同时将三个随机数，根据约定的加密方法进行加密，各自生成本次会话的所使用的同一把 "会话密匙" 。

6. 共 12页: 上一页123456789101112下一页
   标签: