12.1.2 证书指纹与完美前向保密

文档摘要

12.1.2 证书指纹与完美前向保密在 TLS 协议的纵深防御体系中，证书指纹与完美前向保密（Perfect Forward Secrecy, PFS）看似分属两个技术维度——一个锚定身份认证的静态可信锚点，一个保障密钥交换的动态抗泄露能力——但它们实则构成现代 HTTPS 安全基座的“双螺旋结构”：前者确保你正在和对的人说话，后者确保哪怕这人明天被攻陷、私钥被翻出，过去所有加密会话仍如深埋地下的陶罐，封存完好，不可启封。这不是理想主义的修辞，而是 OpenSSL 1.1.1+、Nginx 1.19+、BoringSSL 及现代浏览器强制推行的工程现实。今天，我们就以一线工程师的手感，拆开这枚安全芯片，看它如何在字节流中刻下指纹，在密钥协商时种下前向保密的根。