加密的原理
宝塔操作流程
通过宝塔搭建Wordpress网站的时候,要实现数据的加密传输,有以下流程:
- 在服务器端放行80(HTTP)、443(HTTPS)端口。
- 向Let’s Encrypt等权威机构申请安全证书(需要验证域名所有权)。
- 在服务器端部署安全证书并开启强制HTTPS(本质是修改Nginx站点配置文件)。
证书包含的内容
先由服务器生成一个密钥对,并把公钥和其它需要的信息提交给 Let’s Encrypt 用于签发证书,证书包含以下内容:
- CA 机构(Let’s Encrypt)信息、CA 数字签名
- 证书绑定的域名
- 网站公钥
- 证书生效时间、过期时间
加密的流程
当访客的浏览器通过 HTTPS 连接到网站服务器时:
- 服务器先把安全证书传过来,让浏览器校验证书签名、域名、有效期,确认网站真实可信。
- 浏览器随机生成一段临时对称会话密钥,用证书内的网站公钥加密后发给服务器。
- 服务器使用本地私钥解密,得到正确的会话密钥。
- 后续数据传输全部通过该密钥加密传输。
即便有人在中途窃取了传输内容,缺少服务器私钥就无法获取会话密钥,也就不能还原明文数据。
从SSL到TLS
加密是攻防持续博弈,由于攻击技术一直在升级,所以加密技术也要持续升级。
| 年份 | 版本 | 说明 |
|---|---|---|
| 1994年 | SSL 1.0 | 因存在严重安全漏洞未公开发布 |
| 1995年 | SSL 2.0 | 首次实现商业化 HTTPS 加密,支持数据加密与身份认证,但存在设计缺陷 |
| 1996年 | SSL 3.0 | 修复大量安全漏洞,成为首个广泛应用的安全协议,奠定现代 HTTPS 基础 |
| 1999年 | TLS 1.0 | 由IETF发布,正式取代 SSL 成为官方安全标准 |
| 2006年 | TLS 1.1 | 修复 CBC 模式相关安全漏洞,引入显式初始化向量,增强协议安全性 |
| 2008年 | TLS 1.2 | 支持 AEAD 加密模式,引入更安全的哈希算法,成为后续十年的主流安全标准 |
| 2018年 | TLS 1.3 | 重构握手流程,大幅降低加密延迟,强制前向保密,淘汰所有弱加密算法 |
- SSL:Secure Sockets Layer,即安全套接层。
- TLS:Transport Layer Security,即传输层安全协议。
- IETF:Internet Engineering Task Force,互联网工程任务组。全球最大、最权威的互联网底层标准制定中立开源组织,不隶属于任何国家/企业,由全球工程师、厂商、科研人员自愿参与。
截止至2026年,主流的加密协议是 TLS 1.2,行业推荐的最新标准是TLS 1.3,而SSL所有版本以及TLS 1.0、TLS 1.1均已废弃,我们现在常说的 SSL 安全证书,其实是沿用了一开始的说法。