目录:

SSL/TLS安全证书的加密原理

分享本文:

Share Buttons
文章目录

加密的原理

宝塔操作流程

通过宝塔搭建Wordpress网站的时候,要实现数据的加密传输,有以下流程:

  1. 在服务器端放行80(HTTP)、443(HTTPS)端口。
  2. 向Let’s Encrypt等权威机构申请安全证书(需要验证域名所有权)。
  3. 在服务器端部署安全证书并开启强制HTTPS(本质是修改Nginx站点配置文件)。

证书包含的内容

先由服务器生成一个密钥对,并把公钥和其它需要的信息提交给 Let’s Encrypt 用于签发证书,证书包含以下内容:

  • CA 机构(Let’s Encrypt)信息、CA 数字签名
  • 证书绑定的域名
  • 网站公钥
  • 证书生效时间、过期时间

加密的流程

当访客的浏览器通过 HTTPS 连接到网站服务器时:

  1. 服务器先把安全证书传过来,让浏览器校验证书签名、域名、有效期,确认网站真实可信。
  2. 浏览器随机生成一段临时对称会话密钥,用证书内的网站公钥加密后发给服务器。
  3. 服务器使用本地私钥解密,得到正确的会话密钥。
  4. 后续数据传输全部通过该密钥加密传输。

即便有人在中途窃取了传输内容,缺少服务器私钥就无法获取会话密钥,也就不能还原明文数据。

从SSL到TLS

加密是攻防持续博弈,由于攻击技术一直在升级,所以加密技术也要持续升级。

年份版本说明
1994年SSL 1.0因存在严重安全漏洞未公开发布
1995年SSL 2.0首次实现商业化 HTTPS 加密,支持数据加密与身份认证,但存在设计缺陷
1996年SSL 3.0修复大量安全漏洞,成为首个广泛应用的安全协议,奠定现代 HTTPS 基础
1999年TLS 1.0由IETF发布,正式取代 SSL 成为官方安全标准
2006年TLS 1.1修复 CBC 模式相关安全漏洞,引入显式初始化向量,增强协议安全性
2008年TLS 1.2支持 AEAD 加密模式,引入更安全的哈希算法,成为后续十年的主流安全标准
2018年TLS 1.3重构握手流程,大幅降低加密延迟,强制前向保密,淘汰所有弱加密算法
  • SSL:Secure Sockets Layer,即安全套接层。
  • TLS:Transport Layer Security,即传输层安全协议。
  • IETF:Internet Engineering Task Force,互联网工程任务组。全球最大、最权威的互联网底层标准制定中立开源组织,不隶属于任何国家/企业,由全球工程师、厂商、科研人员自愿参与。

截止至2026年,主流的加密协议是 TLS 1.2,行业推荐的最新标准是TLS 1.3,而SSL所有版本以及TLS 1.0、TLS 1.1均已废弃,我们现在常说的 SSL 安全证书,其实是沿用了一开始的说法。

分享本文:

Share Buttons