SSL基礎知識

## 什麼是ssl

* secure sockets layer 安全套接層

* 為netscape所研發，用以保障在網路上的資料傳輸安全

* 一般通用的規格為40 bit安全標準

* ssl協議位於tcp/ip協議與各種應用層協議直接

* ssl協議分為兩層：ssl記錄協議（ssl record protocol）和 ssl握手協議（ssl handshake protocol）。前者提供資料封裝，壓縮，加密等基本支援；後者用於傳輸之前雙方的身份認證，協商加密演算法，交換加密金鑰等

* ssl記錄協議處於表示層，ssl握手協議會話會話層。所以從網路層級上講，ssl處於tcp/ip和應用層之間。tcp處於傳輸層，ip處於網路層。

伺服器認證階段：

* 客戶端向伺服器傳送乙個開始資訊「hello」以便開始乙個新的會話連線；

* 伺服器根據客戶的資訊確定是否需要生成新的主金鑰，如需要則伺服器在響應客戶的「hello」資訊時將包含生成主金鑰所需的資訊；

* 客戶根據收到的伺服器響應資訊，產生乙個主金鑰，並用伺服器的公開金鑰加密後傳給伺服器；

* 伺服器恢復該主金鑰，並返回給客戶乙個用主金鑰認證的資訊，以此讓客戶認證伺服器。

https(全稱：hyper text transfer protocol over secure socket layer)，是以安全為目標的http通道，簡單講是http的安全版。即http下加入ssl層，https的安全基礎是ssl，因此加密的詳細內容就需要ssl。

優點：缺點：

* 相同網路環境下，https協議會使頁面的載入時間延長近50%，增加10%到20%的耗電。此外，https協議還會影響快取，增加資料開銷和功耗。

ssl證書是數字證書的一種，類似於駕駛證、護照和營業執照的電子副本。因為配置在伺服器上，也稱為ssl伺服器證書。ssl 證書就是遵守 ssl協議，由受信任的數字證書頒發機構ca，在驗證伺服器身份後頒發，具有伺服器身份驗證和資料傳輸加密功能。

ssl數字證書根據可信強度，大概可以分為以下幾種：

* 網域名稱型 ssl 證書（dv ssl）

* 企業型 ssl 證書（ov ssl）

* 增強型 ssl 證書（ev ssl）

證書可靠性(真實並可信)驗證過程是乙個信任鏈的驗證過程，需要明確三點：

* 瀏覽器中預置了一些可信根證書；

* 證書的簽名是由上級頒發者的私鑰加密的；

* 信任鏈的驗證終止與乙個可信的證書。