瀏覽器是如何做到ssl證書認證的

發(fā)布時間：2023-09-10

瀏覽器是如何驗證ssl證書認證？可能我們用戶對于ssl證書認證了解不是很多，因為我們?yōu)g覽網(wǎng)站的時候一般都是不會去注意這些信息的，畢竟目前大多數(shù)的網(wǎng)站都是通過了安全認證的，所以不會存在這方面的問題。
ssl證書
當前ssl證書應(yīng)用越來越廣泛，我們看見的https網(wǎng)站也越來越多。點擊https鏈接簽名的綠色小鎖，我們可以看見ssl證書的詳細信息。那么瀏覽器是如何驗證ssl證書的呢?
(不太了解ssl證書的朋友可能有疑問，ssl證書和https看起來沒多大聯(lián)系，實際上是這樣嗎?ssl和https是怎樣的關(guān)系?https=ssl+http，即http下加入ssl層，https的安全基礎(chǔ)是ssl，因此加密的詳細內(nèi)容就需要ssl。ssl證書，是遵守ssl協(xié)議的一種數(shù)字證書，由全球信任的證書頒發(fā)機構(gòu)(如wosignca)驗證服務(wù)器身份后頒發(fā)。將ssl證書安裝在網(wǎng)站服務(wù)器上，可實現(xiàn)網(wǎng)站身份驗證和數(shù)據(jù)https加密傳輸雙重功能。)
瀏覽器如何驗證ssl證書
在瀏覽器的菜單中點擊“工具/internet選項”，選擇“內(nèi)容”標簽，點擊“證書”按鈕，然后就可以看到ie瀏覽器已經(jīng)信任了許多“中級證書頒發(fā)機構(gòu)”和“受信任的根證書頒發(fā)機構(gòu)”。當我們在訪問該網(wǎng)站時，瀏覽器就會自動下載該網(wǎng)站的ssl證書，并對證書的安全性進行檢查。
提醒大家，由于證書是分等級的，網(wǎng)站擁有者可能從根證書頒發(fā)機構(gòu)領(lǐng)到證書，也可能從根證書的下一級(如某個國家的認證中心，或者是某個省發(fā)出的證書)領(lǐng)到證書。假設(shè)我們正在訪問某個使用了ssl證書的網(wǎng)站，ie瀏覽器就會收到了一個ssl證書，如果這個證書是由根證書頒發(fā)機構(gòu)簽發(fā)的，ie瀏覽器就會按照下面的步驟來檢查:瀏覽器使用內(nèi)置的根證書中的公鑰來對收到的證書進行認證，如果一致，就表示該安全證書是由可信任的頒證機構(gòu)簽發(fā)的，這個網(wǎng)站就是安全可靠的;如果該ssl證書不是根服務(wù)器簽發(fā)的，瀏覽器就會自動檢查上一級的發(fā)證機構(gòu)，直到找到相應(yīng)的根證書頒發(fā)機構(gòu)，如果該根證書頒發(fā)機構(gòu)是可信的，這個網(wǎng)站的ssl證書也是可信的。
ssl證書認證
1、接受到必須驗證資源的請求，網(wǎng)絡(luò)服務(wù)器會推送certificaterequest報文格式，規(guī)定手機客戶端出示客戶端證書。
2、客戶挑選將推送的客戶端證書后，手機客戶端會把客戶端證書信息內(nèi)容以clientcertificate報文格式方法發(fā)給網(wǎng)絡(luò)服務(wù)器。
3、網(wǎng)絡(luò)服務(wù)器認證客戶端證書，驗證通過側(cè)后方可領(lǐng)到證書內(nèi)手機客戶端的公開密鑰，隨后就剛開始https數(shù)據(jù)加密通訊。
ssl手機客戶端驗證選用雙因素認證
在大部分狀況下，ssl手機客戶端驗證不但會借助證書進行驗證，通常會去根據(jù)表格驗證組成這種雙因素認證來應(yīng)用。第一位驗證因素是ssl客戶端證書用于驗證手機客戶端電子計算機，另外驗證要素的登陸密碼則是用于認證客戶自己的個人行為。
ssl手機客戶端驗證造成花費
花費就是指從權(quán)威認證選購客戶端證書的花費，及其網(wǎng)絡(luò)服務(wù)器運營人為確保自身構(gòu)建的權(quán)威認證安全性經(jīng)營所造成的花費。
ssl手機客戶端驗證高效率
當應(yīng)用ssl時，它的響應(yīng)速度會很慢。ssl的慢分二種。這種就是指因為很多耗費cpu及運行內(nèi)存資源，造成響應(yīng)速度很慢。和應(yīng)用http對比，網(wǎng)絡(luò)負荷將會會很慢2到100倍。去除和tcp聯(lián)接，推送http懇求。沒有響應(yīng)外，還務(wù)必開展ssl通訊，因而總體上解決的對網(wǎng)站流量會提升。另一點兒是ssl務(wù)必開展數(shù)據(jù)加密解決，在網(wǎng)絡(luò)服務(wù)器和手機客戶端都必須開展數(shù)據(jù)加密和破譯解決，相比http會大量的耗費網(wǎng)絡(luò)服務(wù)器和手機客戶端的硬件平臺，造成負荷提高。
認為，對于這一難題，并沒有全局性的解決方法，能夠應(yīng)用ssl網(wǎng)絡(luò)加速器來改進難題。該硬件配置僅在ssl解決時充分發(fā)揮ssl網(wǎng)絡(luò)加速器的作用，以分攤負荷。
ssl證書安裝教程
在https安全證書下載后，就需要對證書進行安裝，以下便是小編整理的安裝前和安裝后該注意的一些要點：
一、ssl證書安裝前的注意要點
（1）挑選適合的ssl證書；明確是不是必須單獨，多域或通配符證書：
1、單獨證書將用以單獨域。
2、多域證書將用以好幾個域。
3、通配符證書適用具備很多動態(tài)性子域的安全域。
現(xiàn)階段1024位的證書數(shù)據(jù)加密較為弱，非常容易被破譯，google也極力推薦應(yīng)用含有2048位密匙的證書。
（2）必須從可靠的證書方法組織ca獲得服務(wù)器證書。
（3）務(wù)必在web服務(wù)器上安裝服務(wù)器證書。
（4）務(wù)必在web網(wǎng)絡(luò)服務(wù)器上開啟ssl作用。
（5）手機客戶端（電腦瀏覽器端）務(wù)必同web網(wǎng)絡(luò)服務(wù)器信賴相同證書權(quán)威認證，即必須安裝ca證書。
二、ssl證書安裝后的注意要點：
（1）ssl證書安裝以后必須將平臺網(wǎng)站類應(yīng)用http連接改成https。
（2）必須在百度站長工具開展https驗證。
ssl證書認證對于一個網(wǎng)站來說是非常有必要的，而且網(wǎng)絡(luò)安全問題一直都是大家比較關(guān)注，畢竟隨著網(wǎng)絡(luò)的發(fā)展，也出現(xiàn)了很多網(wǎng)絡(luò)詐騙和信息泄露盜用的案件，所以瀏覽有ssl證書認證的網(wǎng)站就能很好地避免這些問題。