什么是自签名数字证书?如何开展对称秘钥的交换?

什么是自签名数字证书?如何开展对称秘钥的交换?

网友提问:对于网页运用自签名证书,假如消费者在浏览器没有挑选信任网站的证书,会怎样进行对称秘钥的交换?此时是明文交换对称秘钥吗?
企业签名小编这就来解答:
什么是证书?
每一个成年人都有一张身份证,这个身份证就是一张证书,以用来证明每个公民的身份。
身份证里有一块迷你芯片,存储着身份证的信息,为了防止被篡改,通常存储的内容有写保护措施。换句话说,身份证里的信息只能读取不能写入。
为了防止伪造,可以使用公安系统的私钥,对身份证信息进行签名。
公安局使用自签名证书,那什么是自签名证书?
逻辑不对啊,自签名证书,怎么证明他就是公安局的呢?
公安局的身份无法证明,公安局的身份基于信任!
你不信不要紧,只要银行信任他就行了。
只要预先安装在银行系统的电脑里,准确地说,把公安局的自签名证书复制到电脑的证书仓库里,就是信任公安局的自签名证书了。
自签名证书里都有啥?
如图所示,这个就是自签名证书,证书的颁发者与证书的使用者相同,除了自签名部分是私钥加密的,其它部分全部为明文,包括公钥也是明文。
当柜员拿到小明的身份证,通过读卡器读出芯片中的公安局的签名(公安局私钥加密),然后根据到证书仓库里搜索,找到公安局的自签名证书,如上图所示,用明文的公钥尝试解密签名,解得开,证明这张身份证确实是公安局颁发的,可以继续读取身份证的其它信息。解不开,说明是伪造的。
读者只要将上文里的公安局用CA替换掉,就可以用这个故事来尝试理解目前互联网的数字证书的认证原理。
什么是CA?
CA就是类似公安局的证书颁发机构,他们的身份已经被操作系统信任了,并安装在证书的仓库里。
什么是根证书?
CA通常使用自签名证书,被操作系统信任了,他们就是根证书,因为他们是证书链的最顶端,其它的二级证书、三级证书,都是他们的孩子、孙子,所以这些自签名证书称自己为根(Root)证书,是非常形象的。
这个说法不是很恰当,准确的说,是网站的自签名证书没有复制到浏览器所在电脑的数字证书仓库里。当服务器将自己的自签名证书提交给浏览器审查时,浏览器无法在仓库里搜索到,所以浏览器无法校验对方的证书是否真实有效。
当无法校验对方证书(Certificate Verify)时,浏览器发送Alert报文报错(Fatal Error),致命性的错误,然后连接断开。
网站如何使用自签名证书?
一些银行早期曾使用过自签名证书,需要用户访问他们的http网站,先行下载并安装自签名证书,相当于信任了这些自签名的证书,然后就可以通过https访问网银了。
随意安装自签名的证书的安全风险大,一个机构如果将自己的根证书(自签名证书)潜伏在用户证书仓库里,随后颁发任何虚假证书,浏览器都会相信并与之建立安全加密通信,而用户压根觉察不到任何异常,这是很危险的!

外测网
外测网管理员

上一篇:如何让苹果签名不在哪儿非常容易被钻空子
下一篇:数字签名和电子签名为什么备受大众热烈欢迎

留言评论

暂无留言
请先 登录 再评论,若不是会员请先 注册