最近のセッションは、ヤフーといくつかの合意のメールボックスが正常にハイジャックされ、HTTPSを使用していなかった、ハイジャック、ハイジャックが既に実現されてきたものを見ていきますので、精通HTTPSないの、(遅くとも記事を発行していない)ので、私は、なぜ会話をハイジャックすることはできませんHTTPSを見て。
主にこの資料に記載されているSSLは、「デジタル証明書」のこのようなものにも関します。
1.デジタル証明書とは何ですか?
デジタル証明書は、信頼できる電子文書です。それは、インターネット上のあなたのアイデンティティの方法、およびライセンスまたはIDカードのドライバを駆動するような日常生活の中でその役割を検証しています。それは、人々がインターネットで他の取引所の身元を特定するためにそれを使用することができます----認可機関によって証明書の中心部から発行されたCA(認証局)から構成されています。もちろん、デジタル証明書の認証プロセスは、その役割権威、公平、信頼できる第三者機関としての認証局(CA)は、非常に重要です。
[OK]を、何もそれを見てみる長い、デジタル証明書が何であるかを知っている:>、サムネイルファイルを次のように:
以下をダブルクリックして開きます:
2. CAのCB / CA認証センター
何1. CA認証センターのですか?
CA認証センターは、公正な権威と信頼できる第三者機関の設立のため、代理店管理、デジタル証明書認証、インターネットベースのプラットフォームを発行する責任があります。
1以上の世界2. CA認証センター、そしてそれら(CA認証センターとの関係)との関係は何ですか?
ああ、この質問に答えるには、次の図を見てみることができます。
CAは、ツリー、ルート証明機関CAは、2つの認証センターCA、複数の共感2つの認証センターCAは、レベル3のCA証明書を複数許可することができる許可することができるである認証局との間で、図から分かりますセンター...あなたはデジタル証明書を申請している場合(例:交通銀行)は、あなたが中央にCA証明書をルートすることができ、または2、CA要求デジタル証明書の認証センターを3つの段階、それは制限はありません、あなたは成功したとき塗布後に、あなたは、デジタル証明書の所有者と呼ばれます。この木より木があることを、ルートCA証明書センターは、よりであることは注目に値します。FireFoxのは、前述したように、いくつかの情報デフォルトルートCA証明書の権限を記録します。
新しいルートCA証明書の権限が確立されている場合、FirefoxはCA認証センター(この情報は、サブCAの認証局を検証するために使用され、戻ってすることが重要であるという情報は確かではありません、きっと誰かが聞いてきます、こちらを参照してください。私たちは、どのようにそれを行うには)についての話を聞きましたか?あ~~確かに、突然、新しいCA認証センターを設定した場合どこ私は確かに彼FireFoxの情報をしませんでした今日2009年1月8日の日、!しかし、解決策がまだそこにある、空想マップは、あなたが「インポート」ボタンを見つけることができる、と私たちは、このような不幸に遭遇したとき、自分自身だけをダウンロードするには、実際に(ルートCA証明書情報センターをインポートし、そうすることはあまり安全です!)、または予想されるFireFoxのアップグレードは、情報がアップグレードされますが、私はこれのわかりません。
3.なぜCA認証局は信頼できますが?
実際の後、この問題を理解し、あなたが本当に「CA認証センターは、サブCA認証局に力を与えることがいかに?」を理解するだろう、「なぜ偽造のデジタル証明書が無効である、」「なぜデジタル証明書は、信頼できる電子文書があります問題の「などシリーズ。そして、情報を偽造することができた場合、SSLはちょうど、CA認証センターに権威を確立することとし、信頼性の高い、CA認証センターに基づくことができ、その後、すべてがSSLを終了することでしょう......
まずは、最終的にFireFoxのCA認証センターのレコードの情報を見てみましょう何ですか??上の写真は、あなたは非常に身近なものが表示されます....項目、エクスポートエクスポートエクスポート]をクリックしますが、それは、デジタル証明書でした!!
事実上すべてのCA認証センターRSAを説明するために、おそらくここでは、/デジタル証明書の所有者は、彼らはすべてのデジタル証明書を持って、そして自分自身のRSA公開鍵と秘密鍵は、これらは、それらに発行した親CA認証センターです公開鍵と秘密鍵の暗号化、復号化が得られるのであれば、、RSAは非対称暗号化アルゴリズムである公開鍵暗号は、平文を復号化するための秘密鍵を取得することができるならば、その公開鍵と秘密鍵は、対になっていますRSAの特性によって決定された元の平文は、彼の効果は以下の表によって要約することができます。
プライベートキーの場合:CA認証センター/デジタル証明書の所有者は、公開ではない、自分自身を保存します。
デジタル証明書の認証センターで彼の存在CA CAの公開鍵認証センター/デジタル証明書の所有者は以下となります。公共のために。
(1)まず、ネットワーク上のすべての症状のためのCA認証センター/デジタル証明書は、デジタル証明することができます!だから我々は、デジタル証明書のいくつかのシートを置くことができる認証センターCA /デジタル証明書の所有者と同等です。この場合、デジタル証明書の正当性を検証するデジタル証明書のCA認証センター/所有者が正当なものであるかどうかを判断することができます!!!
(2)検証のためにデジタル署名を使用してデジタル証明書を!ここでは簡単にデジタル署名のプロセスを説明します。あなたの派生のFirefox / IEデジタル証明書は、三つの部分が含まから:証明書の内容(F)、暗号化アルゴリズム(A)を、Fは、暗号文(F「)を暗号化(デジタル証明書の構造になる最初の3つのアルゴリズムではありません、部品)、が、二つの詳細は、暗号文F「Fは二回暗号化の結果です。
まず、Fは、その後、h1はデジタルRSA暗号注用の秘密鍵で署名され、このCA証明機関を解放されるだろう(128ビットのまとめと呼ばれる)のハッシュ値h1を計算するハッシュアルゴリズムSHA1:このデジタル署名が解除されCA認証局、今暗号化されたデジタル証明書は、グレードIIは、この証明書の秘密鍵は、ルートCA認証局の秘密鍵で暗号化するために使用される、CAの認証機関をリストされている場合は!!RAS暗号化した後、暗号文F「を形成します。
あなたは、デジタル証明書の信頼性/正当性を確認したいときは、あまりにもあれば、床の上に自分のデジタル証明書の認証センターCAを見つけること、そしてそこからのRSA暗号解読のための暗号文F」における公開鍵証明書データを取得する必要がありますH1とH2の比較の値それらが等しい場合は、その証明書は、合法的な信憑性、(h1は、シーンのうちFですぐに証明書データをカウントすることができます)!あなたが知ることができないので、秘密鍵は、CA認証センターの層であるので、あなたは、デジタル証明書を解読するために1つのCA認証局の公開鍵のために使用することができる偽造することはできません!!
詳細なフローチャートは次のとおりです。
デジタル証明書の検証のためのデジタル証明書がトップに基づいているため、その後、デジタル証明書や法的トップ??これは、現象アップして再帰的になり、事実はそうである、証明書が正規のものであることを確認し、我々は彼の一番上の合法性を確認するために証明書をルートする必要があります!絵は他の記事からも、この考えを表明ました:
ここでは、確かに一部の人は、その正当性を証明するために、どのようにトップレベルのCA証明機関を求めることができますか?事前にFireFoxの証明書(「トップレベル」と「根」は同じ概念である)、ほとんどのトップレベルのいくつかは、CA認証センター権威、信頼リストに追加されている理由.......ああ〜これがあるため、あります最上位のCA認証センターを証明する方法はありません、トップレベルのCA認証センターは、常に信頼されて!!実際には、世界でもトップレベルのCA認証センターはまた、いくつかの一つです。私はちょうど彼らはあなたが確認できないため、ルートCA証明書が、あまり安全でインポートすることを言う、なぜここでは、理解する必要があります。
前記デジタル証明書の組成
私はFirefoxの証明書からのスクリーンショットを見てみることができます。
1.証明書(証明書):
- 共通名(最初の画像に見られるように、証明書の保持者名、CNと称するは、実際には、証明書の名前である:ABA.ECOMRoot ....)
- バージョン(バージョンV3はA一般的になりました)
- 発行者(発行機関)
- 妥当性(効力発生日)
- 件名(証明書情報は、あなたが発行体の内側に見つけることができますし、その内容は同じです)
- サブジェクトの公開鍵情報(公開鍵証明書の所有者は、公開鍵は、これを言っていることです!)
- エクステンション(拡張情報)
- 証明書の署名アルゴリズム(公開鍵暗号化アルゴリズム)、
これは、前述した証明書の内容(F)よりもさらにいくつかあります。
2.証明書の署名アルゴリズム:
PKCS#1 SHA-1 RSA暗号化で:これは、証明書に記載した暗号化アルゴリズムで、暗号化アルゴリズム(A)は、通常の書き込み、そのFireld値を参照してくださいと言いました
3.証明書の署名値:
このレコードは「Fを話す前記上記に対応し、暗号化された証明書の結果です。
4.デジタル証明書を確認してください
実証されていますかデジタル証明書答えるために、我々は最初のデジタル証明書はどのようなものを検証することであることを知っている必要があります:>デジタル証明書を検証するために、上記の要約を作るために、このの一部について話されました:
- 検証/検証合法性の信頼性:これはちょうどかなりそれを理解して言われています>
- 整合性検証:信頼性の検証の過程では、より多くのH1とH2は、すでにその整合性を確認する方法です。
- 検証:たとえば、期限切れかどうかを確認するためにそのVilidity値を確認...
まず書き込み、その他サプリメント!そして、いくつかの場所で書かれていてもよいことは、私は後で修正することを、混沌となります。>〜Paizhuan大歓迎!
5.参考文献:
- http://baike.baidu.com/view/204415.htm
- http://finance.sina.com.cn/money/roll/20080401/00404692291.shtml
- http://blog.csdn.net/sfdev/archive/2008/03/12/2174305.aspx
- http://man.chinaunix.net/develop/rfc/RFC2313.txt
- http://www.zhlmmc.com/diary/14554