本文以通俗的语言科普下信息安全相关知识

数字签名

签名的含义就是我对这个事负责，比如借钱时你要在借款单上签名吧，以后就不好赖账了

数字签名本质就是要干这个事，你发了一个邮件出去，或者写了一个文档，如果能签个颗粒机名那接收方就会放心一些。

怎么数字签名？

使用了非对称加密算法你自己持有一个私钥，并公开相对应的公钥把你要签名的数据（邮件/文档/其他...）用摘要算法算出一个摘要，用你的私钥对该摘要进行加密，这就是所谓颗粒机的数字签名接收方接收到数据及其签名，用你的公钥解密这个签名，得到摘要，并用同样的摘要算法对原始数据计算出摘要，如果一致，接收方就认为这个原始数据的确是你发送滴：由于只有你才拥有私钥，所以只要这个签名和颗粒机原数据吻合，你就无法否认该数据是你发送滴没有被篡改过：如果被篡改过，那么签名就不能和原数据吻合了

数字证书

那么，数字证书是神马？

证明你就是你携带你的相关信息，包括公钥

为什么要证明你是你？实际上日颗粒机常生活里我们经常要用各种证件来做这个自我证明，例如参加高考就得有个准考证。

那在数字的世界里也不例外，比如我发个邮件给你，说我是 pony，我们决定了要你来做腾讯的 CEO，你肯定以为我是个骗子，然后你颗粒机再一看邮件签名：wow!! 是 DigiCert 签发的数字证书，证明该邮件是腾讯董事局主席 pony 发送的，你还能淡定吗？

CA

这里其实有个很重要的概念，就是 CA，也就是 DigiCert 扮颗粒机演的角色，怎么理解它？

比如我说我是 pony，你说，你证明给我看。

我掏出我的身份证，你一看，深圳市公安局签发，姓名 pony，民族汉，地址腾讯大厦，果然是腾讯掌门人...

为什么现在你相信我了？实际上你颗粒机是相信深圳公安局，既然深圳公安局说我是 pony，你就把我当作 pony

CA 就是这样的角色，在数字世界里，他说我是 pony，你就应该相信.....因为他给我发证是很严肃的，他会有一系列手段来检查我颗粒机是不是某个人(或机构/组织/企业)

那么 DigiCert 就是当前很权威的一个 CA，大家都认可他发的证书

所以，数字证书可以证明我的身份。另外，数字证书还可以携带我的公钥，这也很好理解，一个公钥几百个颗粒机字节，而数字证书本质上就是一串二进制的数据，其中某个特定区域存放的就是公钥。

你也许会说，难道我不能伪造一个数字证书？这就和你想伪造身份证一样，太不现实了，我们就不要考虑这种可能性了

自建 CA

办理身份证颗粒机，只收取工本费，但是让 CA 给你签发数字证书，价格不便宜。

现实生活里，我们并不是只能用身份证来证明身份的。比如，我进入公司大楼，只需要出示工牌就行；在公司附近的餐馆吃饭，出示工牌还能打八折.....颗粒机.

同理，在数字世界里，如果你能得到用户的信任，你就可以扮演 CA 的角色给这些用户签发证书。

多年前，我在做 B2B 业务时，就使用 openssl 自建 CA，给公司客户签发数字证书，以确保访问我们网颗粒机站的用户是我们的客户。

什么是 HTTPS

HTTPS 是在 SSL 之上的 HTTP 协议

SSL，是同时利用对称和非对称算法的一种网络通信协议栈：它使用对称算法来加密传输数据，而对称算法的密钥，则是在连颗粒机接握手时协商并用非对称算法加密后发送到对方的

非对称算法更安全，为什么不全程使用非对称算法呢？主要是非对称算法的性能较差，不能很好的支持大量数据的加解密。

作为一个通俗的科普文，就不深入的谈 HTTPS 颗粒机的握手过程了

关于 HTTPS，一般是服务器配置证书，当然，也可以要求服务器和客户端浏览器都配置证书的

若只有服务器证书，那就是表示，这个网站由 CA 来担保该网站的身份，我们不用担心遇到钓鱼网站若既有服颗粒机务器证书，也有客户端证书，那就表示，不仅服务器的身份由 CA 担保，客户端身份也由 CA 来担保——简单的说，没有证书的浏览器不能浏览服务器上的数据