服务器身份验证(核心):
发送证书链: 在TLS握手过程中,腾讯云服务器会将SSL证书(包含服务器的公钥和身份信息)以及完整的证书链(根证书、中间证书)发送给客户端(浏览器)。
客户端验证: 客户端接收到证书后,会执行以下验证:
数字签名验证: 客户端使用CA(证书颁发机构)的公钥来验证服务器证书上的数字签名。如果签名有效,则证明证书确实是由受信任的CA颁发的,没有被篡改。
信任链验证: 客户端会沿着证书链向上追溯,直到找到一个预装在其系统或浏览器中的受信任的根证书。这条信任链的完整和有效性确保了服务器身份的真实性。
其他检查: 还会检查证书的有效期、域名是否匹配(防止证书被用于不相关的网站)、证书是否被吊销(例如通过OCSP或CRL)。
高效性体现:
无需实时人工验证: 验证过程是自动且快速的,基于预先建立的信任(即CA的公钥)。
非对称加密验证身份: 身份验证主要通过验证数字签名完成,而非对称加密虽然计算量大,但在握手阶段主要用于身份验证和密钥交换,避免了在后续大量数据传输中反复使用。
密钥交换与会话建立(保障后续安全和效率):
公钥加密预主密钥(TLS 1.2 及之前): 客户端生成一个预主密钥(Premaster Secret),用服务器证书中的公钥加密后发送给服务器。只有持有相应私钥的腾讯云服务器才能解密得到这个预主密钥。这间接证明了服务器持有与证书匹配的私钥,从而完成了身份验证的另一个重要步骤。
密钥协商(如ECDHE,在TLS 1.2和1.3中广泛使用): 双方利用预主密钥(或通过Diffie-Hellman密钥交换算法生成的共享秘密,如ECDHE)以及各自的随机数,推导出主密钥(Master Secret),进而生成用于后续数据加密的会话密钥(Session Key)。
高效性体现: ECDHE(椭圆曲线迪菲-赫尔曼)等现代密钥交换算法比传统的RSA密钥交换更高效,尤其在TLS 1.3中,通过优化握手流程(减少往返次数)和移除过时的加密套件,进一步提高了性能,通常能将握手延迟从两次往返(2-RTT)减少到一次往返(1-RTT)甚至零次往返(0-RTT),极大地提升了连接建立的速度。
总结高效性的实现方式:
数字证书: 确保服务器身份的真实性和完整性。
非对称加密(RSA/ECC): 用于身份验证和安全的密钥交换。
现代密钥交换算法(如ECDHE): 提高密钥交换的速度。
TLS 1.3 协议优化: 通过精简握手步骤,减少了网络延迟和计算开销,使得身份验证和会话建立更快。
腾讯云负载均衡(CLB): 腾讯云的负载均衡服务通常会提供高性能的SSL卸载能力,将SSL/TLS加解密和握手验证的计算密集型任务从后端服务器转移到负载均衡上,利用专用的硬件/软件优化,大大提升了整体的握手性能和QPS(每秒查询率)。