關於https
隨著 https 建站的成本下降,現在大部分的**都已經開始用上 https 協議。大家都知道 https 比 http 安全,也聽說過與 https 協議相關的概念有 ssl 、非對稱加密、 ca證書等,但對於以下靈魂三拷問可能就答不上了:
https 的實現原理
大家可能都聽說過 https 協議之所以是安全的是因為 https 協議會對傳輸的資料進行加密,而加密過程是使用了非對稱加密實現。
但其實:https 在內容傳輸的加密上使用的是對稱加密,非對稱加密只作用在證書驗證階段。
https的整體過程分為證書驗證和資料傳輸階段,具體的互動過程如下:
證書驗證階段:
資料傳輸階段:
為什麼資料傳輸是用對稱加密?
首先:非對稱加密的加解密效率是非常低的,而 http 的應用場景中通常端與端之間存在大量的互動,非對稱加密的效率是無法接受的。
另外:在 https 的場景中只有服務端儲存了私鑰,一對公私鑰只能實現單向的加解密,所以 https 中內容傳輸加密採取的是對稱加密,而不是非對稱加密。
為什麼需要 ca 認證機構頒發證書?
http 協議被認為不安全是因為傳輸過程容易被監聽者勾線監聽、偽造伺服器,而 https 協議主要解決的便是網路傳輸的安全性問題。首先我們假設不存在認證機構,任何人都可以製作證書,這帶來的安全風險便是經典的「中間人攻擊」問題。
「中間人攻擊」的具體過程如下:
如上圖所以,過程原理如下:
由於缺少對證書的驗證,所以客戶端雖然發起的是 https 請求,但客戶端完全不知道自己的網路已被攔截,傳輸內容被中間人全部竊取。
瀏覽器是如何確保 ca 證書的合法性?
1. 證書包含什麼資訊?
2. 證書的合法性依據是什麼?
所以權威機構會對申請者的資訊進行審核,不同等級的權威機構對審核的要求也不一樣,於是證書也分為免費的、便宜的和貴的。
3. 瀏覽器如何驗證證書的合法性?
以上任意一步都滿足的情況下瀏覽器才認為證書是合法的。
這裡插乙個我想了很久的但其實答案很簡單的問題:
只有認證機構可以生成證書嗎?
如果需要瀏覽器不提示安全風險,那只能使用認證機構簽發的證書。但瀏覽器通常只是提示安全風險,並不限制**不能訪問,所以從技術上誰都可以生成證書,只要有證書就可以完成**的 https 傳輸。
本地隨機數被竊取怎麼辦?
用了 https 會被抓包嗎?
但是,正如前文所說,瀏覽器只會提示安全風險,如果使用者授權仍然可以繼續訪問**,完成請求。因此,只要客戶端是我們自己的終端,我們授權的情況下,便可以組建中間人網路,而抓包工具便是作為中間人的**。通常 https 抓包工具的使用方法是會生成乙個證書,使用者需要手動把證書安裝到客戶端中,然後終端發起的所有請求通過該證書完成與抓包工具的互動,然後抓包工具再**請求到伺服器,最後把伺服器返回的結果在控制台輸出後再返回給終端,從而完成整個請求的閉環。
https 可以防止使用者在不知情的情況下通訊鏈路被監聽,對於主動授信的抓包操作是不提供防護的,因為這個場景使用者是已經對風險知情。要防止被抓包,需要採用應用級的安全防護,例如採用私有的對稱加密,同時做好移動端的防反編譯加固,防止本地演算法被破解。
本文小結
以下用簡短的q&a形式進行全文總結。
因為 https 保證了傳輸安全,防止傳輸過程被監聽、防止資料被竊取,可以確認**的真實性。
客戶端發起 https 請求,服務端返回證書,客戶端對證書進行驗證,驗證通過後本地生成用於改造對稱加密演算法的隨機數,通過證書中的公鑰對隨機數進行加密傳輸到服務端,服務端接收後通過私鑰解密得到隨機數,
之後的資料互動通過對稱加密演算法進行加解密。
防止」中間人「攻擊,同時可以為**提供身份證明。
會被抓包,https 只防止使用者在不知情的情況下通訊被監聽,如果使用者主動授信,是可以構建「中間人」網路,**軟體可以對傳輸內容進行解密。
HTTPS原理分析
其他分類正文 隨著 https 建站的成本下降,現在大部分的 都已經開始用上 https 協議。大家都知道 https 比 http 安全,也聽說過與 https 協議相關的概念有 ssl 非對稱加密 ca證書等,但對於以下靈魂三拷問可能就答不上了 為什麼用了 https 就是安全的?https 的...
Https簡單原理
三 https的工作原理 https在傳輸資料之前需要客戶端 瀏覽器 與服務端 之間進行一次握手,在握手過程中將確立雙方加密傳輸資料的密碼資訊。tls ssl協議不僅僅是一套加密傳輸的協議,更是一件經過藝術家精心設計的藝術品,tls ssl中使用了非對稱加密,對稱加密以及hash演算法。握手過程的簡...
https通訊原理
了解https之前,先了解http 是乙個應用層協議,由請求和響應構成,是乙個標準的客戶端伺服器模型。是乙個無狀態的協議 http協議通常承載於tcp協議之上,有時也承載於tls或ssl協議層之上,這個時候,就成了我們常說的https。https有兩種基本的加解密演算法型別 1 對稱加密 金鑰只有乙...