HTTPS 概念及原理
https://www.cnblogs.com/andy-zhou/p/5345003.html
HTTPS 证书链
https://www.jianshu.com/p/8d525696ce86
HTTPS 握手原理
https://www.jianshu.com/p/f9b8a3e62af1
https://blog.csdn.net/little_newBee/article/details/81634494
Keyless 原理
https://blog.csdn.net/xuyongjiande/article/details/80403541
理解:客户端保存受信任的证书机构,在访问服务器时,服务器会把对应域名的证书发送给客户端。客户端 检查证书中的颁发机构 是否在受信任的证书机构列表中。
OCSP(Online Certificate Status Protocol)。客户端在收到服务器发送的证书之后,如何知道证书是否已经吊销了呢?通常有两种方式:CRL(Certificate Revocation List) 和OCSP。
OCSP 是一个在线证书查询接口,它建立了可实时响应机制,让浏览器可以实时查询每一张证书的有效性。OCSP的弊端是:客户端向CA查询消耗建连时间。
OCSP Sapling 就是为了解决OCSP 性能问题而生的。原理是:SSL握手时,由服务端去查询OCSP接口,将查询结果通过Certificate Status 返回给客户端,
从而让客户端跳过了验证的过程而直接拿到结果,OCSP 响应本身有了签名,无法伪造,所以 OCSP Stapling 既提高了效率也不会影响安全性。
另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。
https://blog.csdn.net/makenothing/article/details/53292335
在早期web服务器架构设计中,一个服务器(IP) 只能为一个域名服务。随着服务器对虚拟主机的支持,一个服务器需要为多个域名服务。为了解决一台服务器只能使用一个证书的缺点,提出了SNI(server name indicator)。SNI在SSL中的实现:在client hello 这个阶段,通过extension将域名带到服务器。这样服务器就能根据域名找到相应的证书了。
SSL整个握手过程中,私钥只是在解密客户端用公钥加密的消息这一步用到。
SSL握手的私钥一般是以配置文件的形式保存在服务端上的。这样是不安全的,为了去掉本地秘钥依赖,提出了Keyless方案。服务器作为keyless的客户端,向keyless server 获取私钥。
