浏览器工作原理与实践
李兵
前盛大创新院高级研究员
56402 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 46 讲
开篇词 (1讲)
开篇词 | 参透了浏览器的工作原理,你就能解决80%的前端难题
时长 13:32
宏观视角下的浏览器 (6讲)
01 | Chrome架构:仅仅打开了1个页面,为什么有4个进程?
时长 18:36
02 | TCP协议:如何保证页面文件能被完整送达浏览器?
时长 12:09
03 | HTTP请求流程:为什么很多站点第二次打开速度会很快?
时长 16:17
04 | 导航流程:从输入URL到页面展示,这中间发生了什么?
时长 15:36
05 | 渲染流程(上):HTML、CSS和JavaScript,是如何变成页面的?
时长 13:11
06 | 渲染流程(下):HTML、CSS和JavaScript,是如何变成页面的?
时长 12:46
浏览器中的JavaScript执行机制 (5讲)
07 | 变量提升:JavaScript代码是按顺序执行的吗?
时长 12:18
08 | 调用栈:为什么JavaScript代码会出现栈溢出?
时长 10:55
09 | 块级作用域:var缺陷以及为什么要引入let和const?
时长 14:20
10 | 作用域链和闭包 :代码中出现相同的变量,JavaScript引擎是如何选择的?
时长 12:50
11 | this:从JavaScript执行上下文的视角讲清楚this
时长 12:05
V8工作原理 (3讲)
12 | 栈空间和堆空间:数据是如何存储的?
时长 12:53
13 | 垃圾回收:垃圾数据是如何自动回收的?
时长 14:36
14 | 编译器和解释器:V8是如何执行一段JavaScript代码的?
时长 12:51
浏览器中的页面循环系统 (6讲)
15 | 消息队列和事件循环:页面是怎么“活”起来的?
时长 12:56
16 | WebAPI:setTimeout是如何实现的?
时长 10:59
17 | WebAPI:XMLHttpRequest是怎么实现的?
时长 14:10
18 | 宏任务和微任务:不是所有任务都是一个待遇
时长 13:41
19 | Promise:使用Promise,告别回调函数
时长 13:16
20 | async/await:使用同步的方式去写异步代码
时长 13:46
浏览器中的页面 (8讲)
21 | Chrome开发者工具:利用网络面板做性能分析
时长 12:52
22 | DOM树:JavaScript是如何影响DOM树构建的?
时长 12:57
23 | 渲染流水线:CSS如何影响首次加载时的白屏时间?
时长 09:50
24 | 分层和合成机制:为什么CSS动画比JavaScript高效?
时长 11:40
25 | 页面性能:如何系统地优化页面?
时长 13:15
26 | 虚拟DOM:虚拟DOM和实际的DOM有何不同?
时长 10:33
27 | 渐进式网页应用(PWA):它究竟解决了Web应用的哪些问题?
时长 09:32
28 | WebComponent:像搭积木一样构建Web应用
时长 10:09
浏览器中的网络 (3讲)
29 | HTTP/1:HTTP性能优化
时长 13:46
30|HTTP/2:如何提升网络速度?
时长 12:56
31|HTTP/3:甩掉TCP、TLS 的包袱,构建高效网络
时长 11:26
浏览器安全 (5讲)
32 | 同源策略:为什么XMLHttpRequest不能跨域请求资源?
时长 10:14
33 | 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
时长 12:07
34 | CSRF攻击:陌生链接不要随便点
时长 13:38
35 | 安全沙箱:页面和系统之间的隔离墙
时长 14:51
36 | HTTPS:让数据传输更安全
时长 15:39
结束语 (3讲)
结束语 | 大道至简
时长 03:42
第二季回归 | 这次我们来专门聊聊V8
时长 03:54
结课测试 | 这些浏览器的知识你都掌握了吗?
时长 00:29
课外加餐 (6讲)
加餐一|浏览上下文组:如何计算Chrome中渲染进程的个数?
时长 12:01
加餐二|任务调度:有了setTimeOut,为什么还要使用rAF?
时长 16:25
加餐三|加载阶段性能:使用Audits来优化Web性能
时长 13:38
加餐四|页面性能工具:如何使用Performance?
时长 13:52
加餐五 | 性能分析工具:如何分析Performance中的Main指标?
时长 11:52
加餐六|HTTPS:浏览器如何验证数字证书?
时长 10:48
浏览器工作原理与实践
15
15
1.0x
00:00/00:00
登录|注册

加餐六|HTTPS:浏览器如何验证数字证书?

李兵
证书是否是合法的CA机构颁发的
证书是否被CA吊销
证书的有效期
验证根证书的合法性
数字证书链
证明CA机构的合法性
浏览器如何获取到CA公钥
浏览器验证服务器数字证书的流程
服务器向CA机构申请证书的流程
中间机构CA
对称和非对称的混合加密方式
HTTPS

该思维导图由 AI 生成,仅供参考

你好,我是李兵。
在《36|HTTPS:让数据传输更安全》这篇文章中,我们聊了下面几个问题:
HTTPS 使用了对称和非对称的混合加密方式,这解决了数据传输安全的问题;
HTTPS 引入了中间机构 CA,CA 通过给服务器颁发数字证书,解决了浏览器对服务器的信任问题;
服务器向 CA 机构申请证书的流程;
浏览器验证服务器数字证书的流程。
不过由于篇幅限制,关于“浏览器如何验证数字证书”的这个问题我们并没有展开介绍。那么今天我们就继续聊一聊这个问题。了解了这个问题,可以方便我们把完整的 HTTPS 流程给串起来,无论对于我们理解 HTTPS 的底层技术还是理解业务都是非常有帮助的。
因为本文是第 36 讲的延伸,所以在分析之前,我们还是有必要回顾下数字证书申请流程浏览器验证证书的流程,同时你最好也能回顾下第 36 讲。

数字证书申请流程

我们先来回顾下数字证书的申请流程,比如极客时间向一个 CA 机构申请数字证书,流程是什么样的呢?
首先极客时间填写了一张含有自己身份信息的表单,身份信息包括了自己公钥、站点资料、公司资料等信息,然后将其提交给了 CA 机构;CA 机构会审核表单中内容的真实性;审核通过后,CA 机构会拿出自己的私钥,对表单的内容进行一连串操作,包括了对明文资料进行 Hash 计算得出信息摘要, 利用 CA 的私钥加密信息摘要得出数字签名,最后将数字签名也写在表单上,并将其返还给极客时间,这样就完成了一次数字证书的申请操作。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

HTTPS是一种安全的数据传输协议,通过对称和非对称的混合加密方式解决了数据传输安全的问题。为了建立信任,HTTPS引入了中间机构CA,通过数字证书来验证服务器的身份。浏览器验证数字证书的有效性,包括证书的有效期、CA的合法性以及证书链的完整性。浏览器默认信任操作系统内置的根证书,但这也带来了安全隐患。HTTPS虽然加固了安全性,但并非绝对安全,仍存在被攻破的可能。文章介绍了数字证书的申请流程和浏览器验证证书的流程,强调了HTTPS的安全性和局限性。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《浏览器工作原理与实践》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | Chrome架构:仅仅打开了1个页面,为什么有4个进程?
04 | 导航流程:从输入URL到页面展示,这中间发生了什么?
10 | 作用域链和闭包 :代码中出现相同的变量,JavaScript引擎是如何选择的?
32 | 同源策略:为什么XMLHttpRequest不能跨域请求资源?
35 | 安全沙箱:页面和系统之间的隔离墙
36 | HTTPS:让数据传输更安全
登录 后留言

全部留言(26)

  • 最新
  • 精选
  • 世界和平
    工作两年,对很多前端知识有的还是比较乱的,一知半解禁不住深究,老师的课程帮助很好的梳理了这些知识,也详细的讲解了,让我有了系统的认知,也为之后的继续学习提供了方向,非常的感谢老师,很值。已经推荐给朋友,以后如果老师再出课,也会继续跟着学习。 我不是托,我不是托,我就是真诚的表示一下感谢。谢谢 ~

    作者回复: 🤝

    2019-12-20
    37
  • 雨儿
    老师太好了,每天都会看看,是否老师有新的更新,期待老师不定期能更新一些

    作者回复: 现在在写新专栏,暂时没办法更新了浏览器专栏了

    2020-01-11
    2
  • pacos
    期待老师的 Promise 加餐
    2020-01-05
    11
  • 极客时间
    盗版的操作系统也有可能安装了恶意根证书啊,所以大家支持正版吧
    2019-12-25
    1
    7
  • 林浩
    总结: 浏览器怎么验证证书? 一般通过 验证证书有效期, 证书是否被CA吊销,证书是否是合法CA机构颁发 如何验证证书有效期? 证书里面包含有效期 如何获知证书被吊销? 1. 下载吊销证书列表 2. 在线验证 如何证明是合法CA机构? 1. 通过证书原始信息(hash)计算消息摘要 2. 利用CA公钥解密证书中的数字签名,得到消息摘要 3. 将两者进行对比 浏览器怎么拿到CA公钥? 服务器部署时,除了当前数字证书外,还需要部署CA证书,CA证书上就包含了CA公钥,当建立HTTPS连接时,服务器会往浏览器发送两个证书,如果服务器上没有部署CA证书,浏览器会通过网络下载CA证书,也可以拿到CA公钥 这里只证明了CA公钥的来源,怎么知道它是合法机构? 很遗憾没有!退而求其次,计算机操作系统内置了一些颁发证书的机构,但因为机构众多不可能这么处理,所以将证书分成了“根CA”和“中间CA”,一个“根CA”会有多个“中间CA”,“根”给“中间”做认证 怎么知道根证书的合法性? 要成为“根CA”需要得到“Web Trust”认证通过才会内置到操作系统中,Web Trust 包括两个机构(AICPA【美国注册会计师协会】和 CICA【加拿大注册会计师协会】) 如果操作系统被入侵如何保证跟证书合法性? 凉凉。。。
    2020-10-10
    4
  • 3Spiders
    这篇文章就解决了客户端验证服务器正确性的问题。但是我有一个小疑问,如果我伪造了一个客户端,同时拿到数字签名和CA公钥,通过CA公钥解密数字信息,这样是否能骗取服务端的信任?老师可以讲讲这中间的细节吗?
    2020-01-01
    8
    4
  • Geek_c9436e
    我看完了,酣畅淋漓的感觉,满满干货,意犹未尽啊,给老师点赞,希望继续学习老师的课!
    2020-09-15
    2
  • 3Spiders
    我感觉老师这篇是看到了我之前的留言,专门延伸的一篇文章,点赞!
    2020-01-01
    1
    2
  • 花仙子
    众所周知,青花瓷工作原理就是在个人主机上设置了一个代理,浏览器信任代理,代理验证并信任服务器的证书,所以可以在青花瓷中看到https的请求内容,同样原理,有没有可能在我们的浏览器在访问服务器之间设置一个代理,而致使浏览器无知觉的先请求到”代理服务器“,而”代理服务器“也拥有CA颁发的合法证书,”代理服务器“可以肆无忌惮的查看甚至修改浏览器与服务器间的通信
    2019-12-30
    1
    2
  • 杰森莫玛
    那CA机构的数字证书到底是操作系统内置的还是服务端传过来的呢?
    2023-05-14归属地:上海
    1
    1
收起评论
显示
设置
留言
26
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部