这一块干货知识很好。它清楚地解释了HTTPS的原理,非常容易理解。我建议你们都好好读一读。
随着HTTPS网站建设成本的降低,大多数网站刚刚开始使用HTTPS协议。大家都知道HTTPS比HTTP安全,也都听过HTTPS协议相关的定义,比如SSL,对称加密,CA证书等等。,但很可能他们无法回答以下问题:
1.为什么HTTPS是安全的?
2.如何完成2的最低原则?HTTPS?
3.使用HTTPS安全吗?
本文将原则上通读HTTPS的安全系数。
HTTPS的完成原则
大家大概都听说过,HTTPS协议往往是安全的,因为HTTPS协议对传输的数据进行加密,数据加密的整个过程都是通过对称加密来完成的。但实际上,HTTPS将对称加密应用于内容传输的数据加密,对称加密仅在证书验证中起作用。
HTTPS的整个流程分为证书验证和数据传输。实际交互过程如下:
①证书验证
电脑浏览器请求HTTPS。
服务器返回HTTPS证书
验证客户端证书是否合理合法,如果不合理则报警。
②数据传输链路
1.当证书被验证为合理合法时,在本地形成一个随机数。
2.根据公钥数据对随机数进行加密,并将加密后的随机数发送给服务器。
3.服务器根据公钥解密随机数。
4.服务器根据客户端发送的随机数结构对称加密技术,对返回的结果内容进行加密后发送。
为什么传输数据是对称加密的?
首先,对称加密的加解密效率极低,而在http的应用领域,端到端之间有大量的交互,对称加密的高效率是不可接受的。
此外,在HTTPS场景中,只有服务器端存储公钥,一对公钥和私钥只完成单向加密和解密。因此,HTTPS的内容传输数据加密采用对称加密而不是对称加密。
为什么一定要通过CA权威认证来授予证书?
HTTP协议被认为是不安全的,因为整个传输过程很容易被监控者追踪和监听,网络服务器是假冒的,而HTTPS协议处理的是数据传输的安全系数。
首先大家假设不会有权威认证,大家都可以做证书。由此带来的安全隐患就是经典的“中间人攻击”问题。
“中间人攻击”的实际全过程如下:
整个过程的原理:
1.本地要求被劫持(例如,DNS被劫持等。),所有需求都被发送到中介的web服务器。
2.中间人缺少对象中间人的证书。
3.客户端建立一个随机数,根据中间人证书的公钥对随机数数据进行加密,然后传输给中间人,再通过随机数结构的对称加密对传输的内容进行加密。
4.因为中间人有客户端的随机数,他可以根据对称加密技术解密内容。
5.中间人向正规网站索取客户要求的内容。
6.因为中间人与网络服务器的整个通信过程是合理合法的,正规网站根据创建的安全出口返回加密的数据信息。
7.中间人用正规网站创建的对称加密技术解密内容。
8.中间人根据与客户端创建的对称加密技术对可靠内容返回的数据信息进行加密。
9.客户端根据中间人创建的对称加密技术解密返回的结果数据信息。
由于缺乏对证书的验证,即使需要HTTPS,客户也完全不知道其自己的互联网已经被阻断,并且所传输的内容已经被中间人窃取。
电脑浏览器如何保证CA证书合理合法?
1.证书包括哪些信息内容?
授予组织信息内容
公共勺子
企业信息
有效期限
指纹识别
......
2.证书的合理合法依据是什么?
首先,权威部门一定要考证。并不是说任何机构都有资格授予证书,否则就不叫权威部门。
另外,证书的效率根据信任体系,权威部门必须对其授予的证书进行信用背书。如果是权威部门形成的证明,大家都觉得合理合法。
所以权威部门会对申请人的信息内容进行审批,不同级别的权威部门在审批上有不同的规定,所以证书也分为完全免费的、性价比高的和贵的。
3.电脑浏览器如何验证证书的合理性和合法性?
当计算机浏览器请求HTTPS时,web服务器将返回URL的SSL证书,并且计算机浏览器必须按如下方式验证证书:
1.核实网站域名、有效期等信息内容是否适当。所有证书都包含这类信息,所以非常容易验证;
2.辨别证件来源是否合理合法。每个签证申请都可以根据验证链搜索匹配的根证书,计算机 *** 作系统和计算机浏览器会在本地存储权威部门的根证书。本地根证书可用于验证匹配组织的签证申请的来源。
3.辨别证书是不是伪造的。必须使用CA服务器虚拟机对其进行检查;
4.辨别证书是否已注销。根据CRL(证书撤销列表证书撤销目录)和OCSP(在线证书状态协议在线证书状态协议),其中OCSP可以作为第三步,减少与CA网络服务器的交互,提高验证效率。
只有把以上步骤都考虑进去了,电脑浏览器才会觉得这个证书是合理合法的。
这里有一个我思考了很久的难题,但答案其实很简单:
即证书已发布。如果要进行中间人攻击,我会从网上免费下载一个证书作为我的web服务器证书。那么当事人无疑会认可这个证明是合理合法的。怎么才能防止这种证书冒名顶替?
实际上,这就是利用公钥和私钥的对称性对非非数据进行加密。虽然中间人可以获得证书,但无法获得公钥。公钥不太可能被计算为与公钥匹配。中间人即使获得证书,也无法冒充合理合法的服务器,因为他无法破译客户端传输的加密数据信息。
4.只有权威认证才能形成证书吗?
如果电脑浏览器一定不能警告潜在的安全隐患,那也只是申请机关签署的证书。而电脑浏览器一般只提醒安全隐患,并不限制网站浏览。因此,在技术上,任何人都可以形成一个证书,如果有一个证书,HTTPS传输的网站可以进行。比如早期的12306,都是手动安装专属证书来完成HTTPS浏览。
本地随机数被盗怎么办?
证书验证是通过对称加密来完成的,但是整个传输过程都是对称加密,其中对称加密技术中的密钥随机数是本地形成,本地存储的。HTTPS如何保证随机数不容易被窃取?
实际上,HTTPS不包括随机数的安全保证。HTTPS只保证整个传输过程的安全,而随机数存储在本地,本地的安全属于另一个安全范围。解决这一问题的对策包括安装电脑杀毒软件、防木马、浏览器升级和恢复系统漏洞等。
使用HTTPS时软件会被抓吗?
HTTPS的数据信息是加密的。基本上,包捕获软件代理请求后捕获的包内容是加密的,所以不能立即查询。关注微信公众平台:Java技术栈,后台管理响应:专用工具,可以获得我整理的N个新开发环境实例教程,都是干货知识。
但是,如前所述,电脑浏览器总是会提醒安全风险。如果客户获得授权,他们仍然可以打开URL并提出请求。所以如果客户端是我们自己的终端设备,我们可以在授权的时候设置互联网为中间人,抓包软件就是中间人的代理。
一般HTTPS抓包软件的 *** 作方法是形成证书,客户必须手动将证书安装到客户端。然后终端设备做出的所有需求根据证书与抓包软件进行交互,再由抓包软件将需求分享给网络服务器,最后缺失对象的结果由控制面板输出后返回给终端设备,从而对所有需求进行闭环控制。
既然HTTPS无法阻止抓包软件,那么HTTPS的现实意义何在?
答:客户端请求HTTPS,服务器返回证书,客户端验证证书。验证后在本地形成一个用于更新和变换对称加密技术的随机数,根据证书中的公钥将数据加密到服务器。服务器接受后,服务器根据公钥解密得到随机数,后续的数据信息交互按照对称加密技术加密解密。
问:为什么需要证书?
答:避免“中间人”攻击,为网站出示id。
问:HTTPS的应用会赶上软件吗?
答:会被抓的软件。HTTPS只是在客户不知情的情况下防止他们的通信被监听。如果客户主动扩大信用额度,他们可以建立一个“中介”互联网,代理ip软件可以破译传输的内容。
以上是对HTTPS原理的详细描述。关于HTTPS原理的资料很多,请关注其他相关文章!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)