SSL 连接简介

easy

SSL （Secure Socket Layer）是一个以 PKI 为基础的安全协议，如果希望网站拥有 SSL 安全连接功能，就必须向证书颁发机构（CA）申请 SSL 证书（网页服务器证书），证书内包含了公钥、证书有效期限、发放此证书的 CA，CA 的数字签名等数据。

当网站拥有 SSL 证书后，客户端在向网站连接时，要通过 https 而不是 http 来连接，比如 https://www.groad.net/ 。

下面说明一下客户端是如何与 SSL 网站建立安全连接的。

新建 SSL 安全连接时，需要新建一个双方都同意的会话密钥( session key )，并利用此密钥来加密/解密双方的通信数据，以及确认数据是否被篡改。

1. 首先，客户端通过浏览器发起 SSL 安全连接。

2. 网站收到客户端的请求后，会将网站本身的证书信息(内含公钥)发给客户端的浏览器。

3. 浏览器与网站双方开始协商 SSL 连接的安全级别，例如可选择 40 或 128 位的加密方式。加密位数越多，破解难度越高，数据越安全，但网站的访问速度及性能就越差。

4. 浏览器根据双方同意的安全级别来新建会话密钥，利用网站的公钥将会话密钥加密，然后将加密后的会话密钥发送给网站。

5. 网站利用它自己的私钥来讲会话密钥解密。

6. 之后网站与浏览器之间所有的来往数据都会利用这个会话密钥将其加密与解密。