HTTPS是如何保证安全的

Wesley13
• 阅读 670

HTTP存在的问题

  1. 窃听风险:通信使用明文(不加密),内容可能会被窃听(第三方可能获知通信内容)

  2. 冒充风险:不验证通信方的身份,因此有可能遭遇伪装

  3. 篡改风险:无法证明报文的完整性,所以有可能已遭篡改

HTTPS

HTTPS是如何保证安全的

HTTPS网站

可以看到 HTTPS的网站,在浏览器的地址栏内会出现一个带锁的标记。

HTTPS并非是应用层一个新的协议,通常 HTTP 直接和 TCP 通信,HTTPS则先和安全层(SSL/TLS)通信,然后安全层再和 TCP 层通信。

HTTPS是如何保证安全的

HTTPS

SSL/TLS协议就是为了解决上面提到的HTTP存在的问题而生的,下面我们来看一下它是怎么解决的:

  1. 所有的信息都是加密传输的,第三方无法窃听

  2. 配备身份验证,防止身份被冒充

  3. 具有校验机制,一旦被篡改,通信双方会立刻发现

加密

对称加密

加密和解密同用一个秘钥的方式称为 共享秘钥加密,也被叫做对称秘钥加密。

HTTPS是如何保证安全的

对称加密

  • 浏览器发送给服务端 client_random 和一系列加密方法

  • 服务端发送给浏览器 server_random和加密方法

现有浏览器和服务器有了三个相同的凭证:client_randomserver_random和加密方法 用加密方法把 client_randomserver_random 两个随机数混合起来,生成秘钥,这个密钥就是浏览器和服务端通信的暗号。

存在的问题:第三方可以在中间获取到client_randomserver_random和加密方法,由于这个加密方法同时可以解密,所以中间人可以成功对暗号进行解密,拿到数据,很容易就将这种加密方式破解了。

非对称加密

HTTPS是如何保证安全的

非对称加密

  • 浏览器发送给服务端 一系列加密方法

  • 服务端发送给浏览器 加密方法以及公钥

之后浏览器通过公钥将数据加密传输给服务端,服务端收到数据使用私钥进行解密。服务端给浏览器发送数据,则使用私钥进行加密,浏览器收到服务端发送过来的数据,使用公钥进行解密。

存在的问题:

  1. 非对称加密效率太低, 这会严重影响加解密的速度,进而影响到用户打开页面的速度。

  2. 无法保证服务器发送给浏览器的数据安全, 服务器的数据只能用私钥进行加密(因为如果它用公钥那么浏览器也没法解密啦),中间人一旦拿到公钥,那么就可以对服务端传来的数据进行解密了,就这样又被破解了。

HTTPS使用对称加密和非对称加密结合

传输数据阶段依然使用对称加密,但是对称加密的秘钥我们采用非对称加密传输。

HTTPS是如何保证安全的

HTTPS加密

  • 浏览器向服务器发送client_random和加密方法列表。

  • 服务器接收到,返回server_random、加密方法以及公钥。

  • 浏览器接收,接着生成另一个随机数pre_master, 并且用公钥加密,传给服务器。(重点操作!)

  • 服务器用私钥解密这个被加密后的pre_master。

到此为止,服务器和浏览器就有了相同的  client_randomserver_randompre_master, 然后服务器和浏览器会使用这三组随机数生成对称秘钥。有了对称秘钥之后,双方就可以使用对称加密的方式来传输数据了。

CA (数字证书)

使用对称和非对称混合的方式,实现了数据的加密传输。但是这种仍然存在一个问题,服务器可能是被黑客冒充的。这样,浏览器访问的就是黑客的服务器,黑客可以在自己的服务器上实现公钥和私钥,而对浏览器来说,它并不完全知道现在访问的是这个是黑客的站点。

服务器需要证明自己的身份,需要使用权威机构颁发的证书,这个权威机构就是 CA(Certificate Authority), 颁发的证书就称为数字证书 (Digital Certificate)。

对于浏览器来说,数字证书有两个作用:

  1. 通过数字证书向浏览器证明服务器的身份

  2. 数字证书里面包含了服务器公钥

下面我们来看一下含有数字证书的HTTPS的请求流程

HTTPS是如何保证安全的

含有数字证书的HTTPS的请求流程

相对于不含数字证书的HTTPS请求流程,主要以下两点改动

  1. 服务器没有直接返回公钥给浏览器,而是返回了数字证书,而公钥正是包含数字证书中的;

  2. 在浏览器端多了一个证书验证的操作,验证了证书之后,才继续后序流程。

参考

  • 如何用通俗易懂的话来解释非对称加密? [1]

  • 十分钟搞懂HTTP和HTTPS协议? [2]

  • HTTPS 原理分析——带着疑问层层深入 [3]

  • 图解HTTP [4]

  • 浏览器工作原理与实践 [5]

参考资料

[1]

如何用通俗易懂的话来解释非对称加密?: https://www.zhihu.com/question/33645891

[2]

十分钟搞懂HTTP和HTTPS协议?: https://zhuanlan.zhihu.com/p/72616216

[3]

HTTPS 原理分析——带着疑问层层深入: https://www.cnblogs.com/leap/p/11953836.html

[4]

图解HTTP: https://book.douban.com/subject/25863515/

[5]

浏览器工作原理与实践: https://time.geekbang.org/column/article/156181

本文分享自微信公众号 - 牧码的星星(gh_0d71d9e8b1c3)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

点赞
收藏
评论区
推荐文章
blmius blmius
2年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
Jacquelyn38 Jacquelyn38
2年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
Wesley13 Wesley13
2年前
HTTPS加密原理
http(超文本传输协议)一种属于应用层的协议缺点:1.通信使用明文(不加密),内容可能会被窃听2.不验证通信方的身份,因此有可能遭遇伪装3.无法证明报文的完整性,所以有可能已遭篡改优点:1.传输速度快httpsHTTPS并非是应用层的一种新协议。只是HTTP
Wesley13 Wesley13
2年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
2年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
2年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
2年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
为什么mysql不推荐使用雪花ID作为主键
作者:毛辰飞背景在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一),而是推荐连续自增的主键id,官方的推荐是auto_increment,那么为什么不建议采用uuid,使用uuid究
Python进阶者 Python进阶者
4个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这