数字证书在HTTPS中起四大作用:一、验证服务器真实身份,防止中间人攻击;二、建立加密通信通道,保障数据机密性与完整性;三、向用户展示安全信任标识,提升感知安全性;四、支持现代Web功能与合规要求,满足法规及浏览器安全策略。
当用户通过浏览器访问网站时,若使用HTTP协议,通信过程为明文传输;而启用HTTPS后,必须依赖数字证书来建立可信连接。以下是数字证书在HTTPS中发挥的关键作用:
一、验证服务器真实身份
数字证书由受信任的证书颁发机构(CA)签发,内含网站域名、公钥及CA数字签名等信息。浏览器通过验证该签名是否由已知可信根证书签发,确认当前服务器确为所声明域名的合法持有者,从而防止中间人冒充。
1、浏览器接收到服务器发送的证书后,提取其CA签名部分。
2、使用本地预置的根证书公钥解密该签名,还原出证书摘要值。
3、对当前证书内容重新计算哈希值,并与解密得到的摘要比对。
4、若两者一致,则证明证书未被篡改且由可信CA签发,服务器身份验证通过。
二、建立加密通信通道
数字证书中包含服务器的公钥,客户端利用该公钥加密一个临时生成的会话密钥,并发送给服务器;只有持有对应私钥的服务器才能解密获得该密钥,后续所有数据均使用该密钥进行对称加密传输。
1、客户端生成随机的预主密钥(Pre-Master Secret)。
2、使用证书中的服务器公钥对该密钥进行非对称加密。
3、将加密后的密钥发送至服务器。
4、服务器用私钥解密获取预主密钥,并与客户端共同派生出用于HTTPS通信的对称会话密钥。
5、此后全部HTTP数据均经此会话密钥加密,确保传输内容无法被窃听或篡改。
三、向用户展示安全信任标识
浏览器依据证书有效性、域名匹配度及签发机构信任状态,在地址栏呈现可视化安全提示,帮助用户快速识别连接是否受保护。
1、检查证书是否在有效期内。
2、确认证书中Subject字段的CN或SAN条目与当前访问域名完全匹配。
3、验证证书链是否能完整回溯至浏览器内置的受信任根证书。
4、若全部校验通过,地址栏显示锁形图标和“HTTPS”字样,用户可直观感知连接安全性。
四、支持现代Web功能与合规要求
许多前沿Web技术强制要求HTTPS作为运行前提,同时监管政策与行业标准也将HTTPS列为数据保护的基本技术措施。
1、HTTP/2与HTTP/3协议仅允许在HTTPS环境下启用。
2、Service Workers、地理位置API、推送通知等敏感API仅在HTTPS页面中可用。
3、GDPR、等保2.0、PCI DSS等法规明确要求对用户身份、支付等敏感信息实施端到端加密。
4、未启用HTTPS的网站在主流浏览器中标记为“不安全”,直接影响用户停留时间与转化率。
