公钥密码学
- Plesk简介
- 保护您的网站(SSL)
SSL(安全套接字层)是TLS(传输层安全)的更为人知且较早的名称,TLS是一项技术规范,描述了服务与客户端之间如何进行安全通信。
用一个故事来解释这项技术的工作原理会更容易理解。
爱丽丝和鲍勃是两个喜欢分享秘密的朋友。他们习惯通过邮件互相发送有趣的秘密信件。然而有一天,爱丽丝发现邮局的窃听者伊芙(Eve,名字与“窃听者”谐音)有时会偷看他们的邮件。
他们很难过,但想出了一个办法。他们俩都买了带钥匙的挂锁。当爱丽丝想给鲍勃发送消息时,她会先寄一封信告诉他:“我想给你发送一条消息。”鲍勃随后会寄给她他的挂锁。
爱丽丝会写下她的消息并放进一个盒子里,同时也把自己的挂锁放进去。一旦她锁上盒子,她就打不开盒子里的消息——而且伊芙也打不开!爱丽丝将包裹寄给鲍勃。
鲍勃收到包裹后,用他的钥匙打开盒子。他发现了爱丽丝给他的秘密和爱丽丝的挂锁。他写下一些秘密,把自己的挂锁和便条放进盒子里。然后用爱丽丝的挂锁锁上盒子。锁上后,他自己打不开,因为没有钥匙,伊芙也打不开。他把盒子寄回给爱丽丝,过程再次开始。
SSL的工作方式就是这样。它把挂锁称为“公钥”,因为你可以把它们送给别人,人们会用它们锁东西,而只有你能打开;而“私钥”则用来解锁用你的公钥锁上的消息(公钥更像是挂锁而不是钥匙,但这些名称不是我们起的,是密码学家定的!)
SSL只传输挂锁一次,所以你不必反复在包裹里发送挂锁,这也是这个比喻的局限所在。但这些公钥可以在外部服务中注册。这些外部服务保存着人们公钥的记录。这样可以防止伊芙给鲍勃寄她自己的挂锁,并在包裹上写上爱丽丝的回信地址。鲍勃会向公钥基础设施(PKI)人员核实,“这真的是爱丽丝的挂锁吗?”他们会回答“不”,鲍勃就不会使用它。
没有这些服务,你无法确定你拿到的是正确的人的挂锁。另一方面,如果你已经确认挂锁是可信的(例如你自己设置了SSL证书),你就不需要第三方帮你验证。如果鲍勃已经熟知爱丽丝的挂锁,他就不必问任何人这挂锁是谁的。但如果其他人想验证爱丽丝的挂锁,她就必须注册它。
如果你使用自签名证书,你会收到类似于首次登录Plesk面板时的错误信息,因为你的浏览器无法确认公钥是否真正属于你的服务器。其他访问者也会看到这个错误信息。但如果只有你自己使用,通常不需要向PKI注册。
PKI并不是单一组织,而是多个组织达成互信协议的集合。这些组织中有些地位较低。当他们发布某个密钥有效的声明时,会用更高级别组织的公钥加密该声明,而每台计算机都有这些高级组织的记录。这组声明被称为“证书颁发机构链”。大多数SSL证书都带有这条链。这条链让这些密钥获得与顶级组织同等的信任和权威。