簡介
資料從甲地傳到乙地,其實是透過許多中介地區的轉傳,這些中介地區可能是散佈在世界各地的主機,假設這些資料被有心人擷取,資料就很有可能會外洩! 也因此,為了達到安全傳輸,Nescape在開發第一個Web瀏覽器的時候,便設計出SSL這樣的協定,爾後,第二版與第三版的推出,國際標準組織Internet Engineering Task Force為了避免推廣SSL這樣的協定變成偏袒特定公司,於是改名為TLS繼續發展。
透過應用密碼學非對稱加密的原理 ( 原理可以參照 「Asymmetric Encryption (非對稱式加密)」),在傳輸前提供Public Key供資料加密後回傳,不過當這Public Key被有心人竄改時,資料也是有可能被盜用! 因此,透過建立Certificate authority CA這樣的機制,Public Key改由放置在憑證上提供,當傳輸前收到憑證時,可以透過認證機構進行驗證,看這些憑證是不是來自安全的機構所簽署 ( 原理可以參照 「Digital Signature (數位簽章)」),進而使用內部所提供的Public Key。
憑證結構
這邊我以中國信託網站為例。使用SSL安全傳輸的網頁通常在網址欄會看到Https的字眼,其實很直覺,就是HTTP+Security,而當你接收了來自中國信託的憑證,你的右下角 ( 以Firefox為例 ) 會出現類似鎖頭的圖案,代表你目前瀏覽這網頁已經是在加密傳輸的情況下瀏覽,當然,只是瀏覽其實不太需要太多安全性控管,真正需要安全性的部分是你隨著網頁欄位送出的帳號與密碼!! 
如果你點右下角鎖頭的圖案,按下View (中文版可能叫瀏覽 ),你會看到如下圖的資料,這是中國信託的憑證內容,比較重要的是說明了這張憑證是由VeriSign這個組織所簽發 ,使用期限,本身使用的加解密演算法為何。
切換到Details,可以看到中國信託所提供的Public Key的細節,我們在網頁上所打的帳號密碼便透過此Public Key進行加密,傳輸到中國信託主機後,主機用自己所擁有的Private Key進行解碼,完成非對稱加密。目前憑證方面,國際標準是以X509的版本為主。
Certificate authority CA 運作原理
對Public Key的不信任可以透過憑證的方式解決,那同理,對於憑證的簽署單位該怎信任呢?同理,必須要找一個可以認證他的單位,而CA本身就是採用互相認證與階層式的方式做認證,參考架構如下。
http://140.127.138.46/tsnien/Teach_Manu/F8745/F8745_HTML/chap9/chap9-6.htm
來源 : 粘添壽 老師教學網站
參考資料
- SSL 與 TLS實務應用 | Stephen Thomas ( 許建隆 譯 ) – 碁峯
- http://www.globaltrust.com.tw/products/whats_ssl.asp 什麼是SSL
- http://www.hitrust.com.tw/newsite/verisign.asp HiTrust
- http://en.wikipedia.org/wiki/X.509#Sample_X.509_certificates X.509
- http://140.127.138.46/tsnien/Teach_Manu/F8745/F8745_HTML/chap9/chap9-6.htm 粘添壽 老師教學網站