證書認證機制

❶ ssl證書的工作原理

SSL證書的工作原理:

客戶端向伺服器請求HTTPS連接

客戶端向伺服器傳送客戶端SSL協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息。

伺服器確認並返回證書

伺服器向客戶端傳送SSL 協議的版本號，加密演算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的證書。

客戶端驗證伺服器發來的證書

客戶端利用伺服器傳過來的信息驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA 是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開;如果驗證通過，將繼續進行。

信息驗證通過，客戶端生成隨機密鑰A，用公鑰加密後發給伺服器

從第③步驗證過的證書裡面可以拿到伺服器的公鑰，客戶端生成的隨機密鑰就使用這個公鑰來加密，加密之後，只有擁有該伺服器(持有私鑰)才能解密出來，保證安全。

伺服器用私鑰解密出隨機密鑰A，以後通信就用這個隨機密鑰A來對通信進行加密

這個握手過程並沒有將驗證客戶端身份的邏輯加進去。因為在大多數的情況下，HTTPS只是驗證伺服器的身份而已。如果要驗證客戶端的身份，需要客戶端擁有證書，在握手時發送證書，而這個證書是需要成本的。

❷ 數字證書的原理是什麼

一、數字證書的原理：

數字證書採用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一把公共密鑰（公鑰）並可以對外公開，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由於沒有相應的私鑰，也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。

用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：

• （1）保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；

• （2）保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

數字證書的作用

數字證書可用於發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。數字證書的格式一般採用X.509國際標准。

二、數字證書的功能

• 信息保密性

交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。而CA中心頒發的數字安全證書保證了電子商務的信息傳播中信息的保密。

• 身份確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮 客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。而CA中心頒發的電子簽名可保證網上交易雙方的身份，銀行和信用卡公司可以通過CA認證確認身份，放心的開展網上業務。

• 不可否認性

由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金， 訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此CA中心頒發的數字安全證書確保了電子交易通信過程的各個環節的不可否認性，使交易雙方的利益不受到損害。

• 不可篡改性

交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單後，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那麼訂貨單位可能就會因此而蒙受損失。 因此CA中心頒發的數字安全證書也確保了電子交易文件的不可修改性，以保障交易的嚴肅和公正。

❸ 數字認證的數字身份認證原理

若注冊者認抄定一個人的身份，是通過注冊者信任的另外一個人來進行的。注冊者信任的那個人就是身份認證機構（可以是一個自然人）。把數字身份比喻成一個證件，那麼數字證書就是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名），這一行為表示身份認證機構已認定這個人。
身份認證機構是人們注冊公鑰的機構。注冊之後，身份認證機構就向注冊者發一數字證書，也就是說在注冊者的數字身份證上加簽。服務有免費，也有收費。身份認證機構也可以是一個自然人，就如PGP和GPG系統所倡導的。

❹ 以下哪個技術標準是採用公鑰密碼體系的證書機制來進行身份驗證

CA的作用是檢查證書持有者身份的合法性，並簽發證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。(三)CA中心CA中心為每一個使用公鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA認證中心的數字簽名技術使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡的消費人、商家發放證書，還對交易過程中所涉及到的銀行、網關也發放證書。它負責產生、分配並管理所有參與網上交易的個體所需的數字證書。(四)CA證書的種類CA中心發放的證書分為兩類：SSL證書和SET證書。一般地說，SSL（安全套接層）證書是服務於銀行對企業或企業對企業的電子商務活動的；而SET（安全電子交易）證書則服務於持卡消費、網上購物。雖然它們都是用於識別身份和數字簽名的證書，但它們的信任體系完全不同，而且所符合的標准也不一樣。簡單地說，SSL證書的作用是通過公開密鑰證明持證人的身份。而SET證書的作用則是，通過公開密鑰證明持證人在指定銀行確實擁有該信用卡賬號，同時也證明了持證人的身份。用戶想獲得證書時，首先要向CA中心提出申請，說明自己的身份。CA中心在證實用戶的身份後，向用戶發出相應的數字安全證書。認證機構發放證書時要遵循一定的原則，如要保證自己發出的證書的序列號各不相同，兩個不同的實體所獲得的證書的主題內容應該相異，不同主題內容的證書所包含的公開密鑰相異等。(五)CA證書的基本原理及功能？SSL協議的握手和通訊為了便於更好的認識和理解SSL協議，這里著重介紹SSL協議的握手協議。SSL協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL的握手協議非常有效的讓客戶和伺服器之間完成相互之間的身份認證，其主要過程如下：①客戶端的瀏覽器向伺服器傳送客戶端SSL協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息。②伺服器向客戶端傳送SSL協議的版本號，加密演算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的證書。③客戶利用伺服器傳過來的信息驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。④用戶端隨機產生一個用於後面通訊的「對稱密碼」，然後用伺服器的公鑰（伺服器的公鑰從步驟②中的伺服器的證書中獲得）對其加密，然後將加密後的「預主密碼」傳給伺服器。⑤如果伺服器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然後對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的「預主密碼」一起傳給伺服器。⑥如果伺服器要求客戶的身份認證，伺服器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA是否可靠，發行CA的公鑰能否正確解開客戶證書的發行CA的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，伺服器將用自己的私鑰解開加密的「預主密碼」，然後執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。⑦伺服器和客戶端用相同的主密碼即「通話密碼」，一個對稱密鑰用於SSL協議的安全數據通訊的加解密通訊。同時在SSL通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。⑧客戶端向伺服器端發出信息，指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知伺服器客戶端的握手過程結束。⑨伺服器向客戶端發出信息，指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端伺服器端的握手過程結束。⑩SSL的握手部分結束，SSL安全通道的數據通訊開始，客戶和伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。CA中心主要職責是頒發和管理數字證書。其中心任務是頒發數字證書，並履行用戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統安全、物理安全、資料庫安全、人員安全、密鑰管理等方面，需要十分嚴格的政策和規程，要有完善的安全機制。另外要有完善的安全審計、運行監控、容災備份、事故快速反應等實施措施，對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐。CA中心的證書審批業務部門則負責對證書申請者進行資格審查，並決定是否同意給該申請者發放證書，並承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切後果，因此，它應是能夠承擔這些責任的機構擔任；證書操作部門（CertificateP-rocessor，簡稱CP）負責為已授權的申請者製作、發放和管理證書，並承擔因操作運營錯誤所產生的一切後果，包括失密和為沒有授權者發放證書等，它可以由審核業務部門自己擔任，也可委託給第三方擔任。(六)CA證書管理包括哪些方面工作CA策略管理管理員可以指定CA管理策略，包括：根證書、個人證書、企業證書、伺服器證書的密鑰長度、有效期、是否備份等策略。(七)畫圖說明CA證書申請流程。(八)申請CA證書的用戶導出證書的目的是什麼?簡要介紹導出的操作步驟1當普通的恢復失效時，數據恢復代理需要使用數據恢復密鑰，以允許代理恢復加密數據。因此，保護恢復密鑰是非常重要的。有一種好方法可以防止丟失恢復密鑰，那就是僅在需要時才將這些恢復密鑰導入本地計算機。而在其他時候，您應將數據恢復代理的數據恢復證書和私鑰導出，並以.pfx格式文件存儲到安全的可移動介質。2步驟第一步，從IE中導出證書。點擊IE菜單"工具"，打開"Internet選項"對話框，選中"內容"頁，點擊"證書"，彈出"證書"對話框，請您選擇您要導出的證書，然後選擇"導出"操作，您就可以根據"證書導出向導"操作完成證書導出了，請注意，"證書導出向導"第二步提示您"是否導出私鑰？"，請選擇"是，導出私鑰"，成功導出證書後，您會得到一個以".pfx"結尾的文件。第二步，導入證書到Webmail。在Webmail左幀選擇"個人資料"，然後在右幀點擊"設置個人證書"。請點擊"導入證書"，在"上傳證書"對話框中請瀏覽找到您在第一步操作中所導出的".pfx"文件，按"下一步"，輸入您在第一步的"證書導出向導"里要求您輸入的秘匙保護密碼，您可以選擇"保存密碼"，以後查看加密郵件就不需要輸入密碼了。成功的話，Webmail將會顯示證書的簡略信息。有了個人證書，你就可以發送有你數字簽名的信件了。

❺ 那們知道數字證書的安全認證機制和公鑰私鑰的生成方式啊!

你自己做一個AAA伺服器 一個mial伺服器
裝兩個客戶端
看他們的認證過程
你就會很好的理解它的具體過程
實踐才能出真理

❻ SSL證書的認證原理

安全套接字層(SSL) 技術通過加密信息和提供鑒權，保護您的網站安全。一份 SSL 證書包括一個公內共密鑰和一個私用容密鑰。公共密鑰用於加密信息，私用密鑰用於解譯加密的信息。瀏覽器指向一個安全域時，SSL 同步確認伺服器和客戶端，並創建一種加密方式和一個唯一的會話密鑰。它們可以啟動一個保證消息的隱私性和完整性的安全會話。
SSL的工作原理中包含如下三個協議。
握手協議（Handshake protocol）
記錄協議（Record protocol）
警報協議（Alert protocol） 記錄協議在客戶機和伺服器握手成功後使用，即客戶機和伺服器鑒別對方和確定安全信息交換使用的演算法後，進入SSL記錄協議，記錄協議向SSL連接提供兩個服務：
（1）保密性：使用握手協議定義的秘密密鑰實現
（2）完整性：握手協議定義了MAC，用於保證消息完整性 客戶機和伺服器發現錯誤時，向對方發送一個警報消息。如果是致命錯誤，則演算法立即關閉SSL連接，雙方還會先刪除相關的會話號，秘密和密鑰。每個警報消息共2個位元組，第1個位元組表示錯誤類型，如果是警報，則值為1，如果是致命錯誤，則值為2；第2個位元組制定實際錯誤類型。

❼ 網上安全認證機構（CA）的認證原理

一、電子認證的概念

--電子簽名只是從技術手段上對簽名人身份做出辯認及能對簽署文件的發件人與發出電子文件所屬關系做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發文件的可能性等問題，則是電子簽名技術本身無法解決的問題。換言之，這裡面有一個解決私人密鑰持有人信用度的問題。這裡麵包括兩種可能性。一是密鑰持有人主觀惡意，即有意識否認自己做出的行為；二是客觀原因，即發生密鑰丟失、被竊或被解密情況，使發件人或收件人很難解釋歸責問題。事實上，相類似的問題在我們傳統商業交易活動中也存在，只不過我們有一套相對完整的解決方案罷了。當然這里包括相配套的法律規范及保護措施。在傳統的簽字（蓋章）使用中，為了防止簽字（蓋章）方提供偽造虛假或被篡改的簽字（蓋章）或者防止發送人以各種理由否認該簽字（蓋章）為其本人所為，一些國家或地區採取通過具有權威性公信力的授權機關對某印章提前做出備案，並可提供驗證證明的方式，防止抵賴或偽造等情形發生。例如，在我國台灣省，對一些重要法律文件（如房地產買賣交易文件），對印章真實性認證就採取下述方式處理：為保證蓋過章的文件的真實性，印章持有人在蓋章之前需把印章送到具有權威性的戶政事務所登記備案，並申請印鑒證明，之後再把印鑒證明同蓋過章的文件一並送給收件方,收件方將印鑒證明同原件相比較，如完全一致，就可確認文件及其印章的真實性了。ˉ在電子交易過程，同樣需要一個具有權威性公信力的第三者作為安全認證機關（Certificate Authority）對公開密鑰行使辨別及認證等管理職能，以防止發件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見，電子簽名的安全使用必須配合安全認證機關體系的建立。事實上，西方很多國家（美國、加拿大、德國等）以及日本都已經或正在建立相配套的公共密鑰基礎設施（ public key infrastructure）。這樣，網路上電子簽名與CA認證的相互結合就解決了前面闡述的由於電子簽名技術方面無法解決的信用度的問題。

二、電子認證的程序

--電子認證的具體操作程序為：發件人在做電子簽名前，簽署者必須將他的公共密鑰送到一個經合法注冊，具有從事電子認證服務許可證的第三方，即CA認證中心，登記並由該認證中心簽發電子印鑒證明（Certificate）。爾後，發件人將電子簽名文件同電子印鑒證明一並發送給對方，收件方經由電子印鑒佐證及電子簽名的驗證，即可確信電子簽名文件的真實性和可信性。由此可見，在電子文件環境中，CA認證中心扮演的角色與上述傳統書面文件簽字（蓋章）環境中的第三者（戶政事務所）的角色有異曲同工之妙。CA認證中心正起到一個行使具有權威性公證的第三人的作用。而經CA認證機關頒發的電子印鑒證明就是證明兩者之間的對應關系的一個電子資料，該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明後，只要查驗證明書內容確實是由CA機關所發，即可推斷證明書內的公開密鑰確實為該證明書內相對應的使用者本人所擁有。如此，該公共密鑰持有人無法否認與之相對應的該密鑰為他所有，進而亦無法否認經該密鑰所驗證通過的電子簽名不為他所簽署。 電子認證的目的

--電子認證的目的就是通過CA機關對公共密鑰進行辨別和認證（包括跨國認證）以防止或減少因密鑰的丟失、損毀或解密等原因造成電子文件環境交易的不確定因素及不安全性風險。同時，認證證明書還能佐證密鑰申請人的資信狀況。 電子認證的機構

--1． 電子認證機構設立的形式。

--縱觀一些國家在電子認證（CA）設定的形式一般有兩大類。第一類是直接由國家有關負責部門下屬單位直接設立，從事電子認證服務工作。或者是由政府的相關部門扮演CA體系中最高一層的認證中心角色。第二大類是由政府相關部門做出授權，規定嚴格的審批條件和程序簽發認證證書（Certificate），同時行使監督權，以確保網路交易的安全性。無論是哪種形式，政府扮演的角色是至關重要的。其原因有以下幾點：

--1）權威性。

--只有經國家主管部門授權經營的電子認證服務公司或由主管部門批發經營許可證的CA認證機關簽發的電子認證證書最有權威性。在一定意義上，這正如只有經公安部門發出的個人身份證具有絕對可靠的權威性一樣。

--同時，由於電子認證在網路中的應用具有跨越國界的特性，只有國家主管部門以國家名義出面介入，從而使得電子認證的效力的可靠性具有為他國承認的後果。

--2）標准化。

--政府主管部門可規定法律統一的技術方案以及規范不同級別的CA機關的電子認證標准及程序。同時，政府主管機關可擔當最高一級的公共密鑰認證中心的角色。這是美國各州及聯邦政府以及德國等國公共密鑰基礎建設體系都普遍採用的一種形式。

--3）可執行性

--由於政府主管機關在CA認證中扮演國家的角色，因此在體系的建立，標準的設定，以及兼容跨國認證等方面具有絕對權威性及統一性的特點。因此，在實施電子認證服務過程中，其可操作性及可執行性的特點是顯而易見的。這就避免可能由於不同標准（技術及服務兩方面）的出現，從而使得電子認證變得無法實施，達不到消除網上交易缺乏安全性的顧慮的目的。

--2． 電子認證機關（CA）設立的條件

--CA機構申請從事電子認證服務牌照時，需滿足一定的審批條件。政府主管部門在審核及批發許可證時，除要審查申請人的硬體措施（如辦公場所的選定）、軟體條件（如公司中人員的技術專業知識），還要審查主體資格，承擔損害賠償的能力等多個方面。下面簡單介紹一下美國猶他州電子簽名法規定CA提供電子認證服務的條件。

--（1） 主體資格：可為執業律師；在猶他州注冊登記的信託機機能或保險機構；猶他州州長、州法院、市、郡等已經依法律或行政命令指定執行CA認證業務的公務人員並為該機構員工進行認證之組織；任何在猶他州取得營業許可的公司；

--（2） 程序：CA本身必須申請公開金鑰憑證且須存放在主管機關設置或承認的公開金鑰憑證資料庫中以供大眾檢視讀取；

--（3） 公證資格：須有公證人（a notary public）資格或至少聘僱一具有公證人資格之員工；

--（4） 從業人員不得有嚴重犯罪前科：所僱用的員工中不得有重大犯罪之前科或是犯有其他詐欺、虛偽陳述或欺騙之罪行；

--（5） 專業知識：所僱用員工必須具有執行認證業務之專業知識；

--（6） 經營擔保：除了政府官員或機關申請經營CA業務外，其他申請者必須提供營業擔保；

--（7） 軟硬體設施：對於經營CA業務所需軟硬體設施，必須對該設施擁有具有合法的權利；

--（8） 營業場所：必須在猶他州設有營業處所或是指定代理人代為執行業務；

--(9） 必須遵守主管機構的所有其他規定。

三、電子認證的效力

-- 電子認證的效力一般通過兩種途徑得到保障。第一種也是最直接的是通過立法的形式加以確認。這主要是通過法律授權政府機關主管部門制定相應規則，從而最終達到保障電子認證的效力具有法律上的依據與保障。美國很多州都是採取此種方式。這主要是表現在以下幾個方面：

--1、 以直接的立法形式明示直接承認可被接受的技術方案標准；（如美國猶他州；香港特別行政區法例等。）

--2、 授權政府主管部門制定相應規則如享有頒發、或吊銷CA機構從事電子認證業務許可的權力，同時對違規/違法經營操作的CA機構具有行政處罰權；

--3、 制定明確的設立及管理CA機構的條件及程序。同時，在監管CA機構層面上，政府主管部門還設置所有合法登記、注冊經營電子認證業務的CA機構的資料庫供客戶查詢。如美國猶他州法律規定，主管機構在其設置的公共密鑰憑證資料庫中，專門開辟一個存有所有登記注冊CA機構詳盡檔案資料庫。其中除了一般公司信息（如公司名稱、住址及電話及被授權的營業范圍）外，還包括目前使用的核發認證憑證的機構有無違規經營遭到處罰的記錄等等信息。

❽ 認證原理，SSL雙向認證和SSL單向認證的區別

雙向認證SSL 協議的具體通訊過程，這種情況要求伺服器和客戶端雙方都有證書。回 單向認證SSL 協議不需要客戶端擁有答CA證書，以及在協商對稱密碼方案，對稱通話密鑰時，伺服器發送給客戶端的是沒有加過密的（這並不影響SSL過程的安全性）密碼方案。這樣，雙方具體的通訊內容，就是加密過的數據。如果有第三方攻擊，獲得的只是加密的數據，第三方要獲得有用的信息，就需要對加密的數據進行解密，這時候的安全就依賴於密碼方案的安全。而幸運的是，目前所用的密碼方案，只要通訊密鑰長度足夠的長，就足夠的安全。這也是我們強調要求使用128位加密通訊的原因。
一般Web應用都是採用單向認證的，原因很簡單，用戶數目廣泛，且無需做在通訊層做用戶身份驗證，一般都在應用邏輯層來保證用戶的合法登入。但如果是企業應用對接，情況就不一樣，可能會要求對客戶端（相對而言）做身份驗證。這時就需要做雙向認證。

❾ x.509證書的信任機制

在基於公鑰的認證體系中，認證伺服器C A( C e r t if i c a t e A u t h o r i z a t io n) 是認證雙方都信賴的第三方， C A發布一個長效版的公鑰證書，當認權證雙方從C A申請到證書後，就可以進行相互認證， 而不再需要C A的千預【 1 4 ].本文中認證服務層( A u t h e n 6 c a t io ns e r v i c eL a y e r) 充當了 可信賴方的角色，由 它發布x . 5 0 9公鑰證書。並在認證過程中結合兩階段提交的、動態更新的現時值來確保認證過程
的安全性和健壯性。

❿ ssl用哪些加密演算法，認證機制

SSL是一個安全協議，它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議（內HTTP）使用容 SSL 來實現安全的通信。

在客戶端與伺服器間傳輸的數據是通過使用對稱演算法（如 DES 或 RC4）進行加密的。公用密鑰演算法（通常為 RSA）是用來獲得加密密鑰交換和數字簽名的，此演算法使用伺服器的SSL數字證書中的公用密鑰。

有了伺服器的SSL數字證書，客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和伺服器的數字證書。

詳細介紹：網頁鏈接