其实我做信息安全有很长时间了。期间还做过一个CA。
但我对PKI相关的一些东西还是模棱两可的。下面我想问一下关于SSL证书工作过程的一些疑问。
流程如下,我大概叙述一下,看是否正确:
客户端浏览器向具有SSL证书的服务器发起请求后,该服务器作出响应并返回给客户端自己的服务器证书。客户端浏览器拿到证书后生成一个会话密钥并用证书加密再提交给服务器,服务器用私钥解密。此时,客户端浏览器和服务端具有相同的会话密钥(此会话密钥应该是对称加密用的吧?)。然后,客户端和服务端就可以用该密钥进行信息加密传输了。
问题:
1.感觉上这个流程像是数字信封的那个流程,会话密钥是否是用于对称加密的(应该是的)?那么这个对称算法客户端和服务端是在什么时候确定下来的?客户端浏览器发送信息时加密的信息服务端怎么用会话密钥去解?
2.我在访问一个有SSL证书的网站时,它怎么能确定我的身份(没法确定,除非我也有证书做TLS)?浏览器在提交数据的时候怎么能够防篡改、防伪造(貌似这里防篡改防伪造没有太大意义。。。)?
3.这是我最主要的问题,客户端浏览器是怎么验证所访问的服务器的真实性有效性的?服务器下发给客户端SSL证书之后,客户端要怎么校验该证书有效性?比方说购买了verisign的证书后,浏览器是怎么去校验的,最后让地址栏变成绿色?
4.会话密钥的长度是怎么确定的?IE浏览器会有 密钥长度:128位 。这样是指会话密钥长度128位吗?
感谢作出回答的大神们。
