- 非对称加密,公钥加密,私钥才能解密
- 世界上有很多ca机构,他们用不同的私钥生成证书,私钥保管严密且一般受法律监管
- 手机,电脑等一般会预装许多ca机构的东西(分析证书是否合法等用的)
- 服务器管理人员会向ca机构去签发证书,拿到公钥和私钥(ca机构通过自己保存的私钥去生成给服务器那边的证书以及公私钥)
- 中间人只能拿到服务器发的证书(公钥在证书里面),所以无法解密https协议
- 中间人能拦截证书,但是不能修改,因为证书到客户电脑后会在自己电脑里面找到该证书的签发机构对应的验证程序去验证,通过才可用
- 如果中间人知道如何生成验证证书或者如何签发证书的代码(与ca生成证书的私钥有关),是有可能推出服务器的私钥的(或者篡改证书的(这个不确定)),如果篡改证书,改成自己的公钥(自己有对应的私钥),还能通过ca(客户电脑上的(中间人自己的电脑上也有))的验证,即可破解密文
- 因为非对称加密比较耗费性能,所以https是用客户的电脑生成一串用公钥加密的秘钥(对称加密),之后用对称加密区加密报文
