SSL与HTTPS

1、SSL证书,区分服务端证书和客户端证书吗?

SSL(安全套接层)证书可以区分为服务端证书和客户端证书。

服务端证书:服务端证书是由服务器端提供的,用于验证服务器的身份。当客户端(如浏览器)连接到服务器时,服务器会将其证书发送给客户端。客户端会验证这个证书是否有效,以确保其连接到的是合法的服务器。服务端证书通常包含服务器的域名、组织信息、公钥等,并由受信任的证书颁发机构(CA)签名。

客户端证书:客户端证书是由客户端(如浏览器)提供的,用于验证客户端的身份。在某些情况下,服务器需要验证连接到它的客户端的身份。例如,在某些安全性要求很高的应用中,服务器可能要求客户端提供证书来验证其身份。客户端证书也由受信任的CA签名,用于验证客户端的身份。

2、HTTPS请求的内容默认是密文还是明文

HTTPS(HyperText Transfer Protocol Secure)是在HTTP上加入了SSL/TLS协议的加密通信协议,因此HTTPS请求的内容默认是密文,而不是明文。

当客户端(如浏览器)发起HTTPS请求时,通信过程如下:

客户端向服务器发送一个连接请求。
服务器将其公钥以及与之相关的证书发送给客户端。
客户端验证服务器证书的有效性,并使用服务器的公钥加密一个随机的对称密钥,然后将其发送给服务器。
服务器使用其私钥解密客户端发送的对称密钥。
客户端和服务器使用该对称密钥进行加密和解密通信过程中的数据。
因此,通过HTTPS发送的数据在传输过程中是加密的,使得第三方无法轻易窃取或篡改数据。

3、iOS HTTPS的请求,一定要在app中放置cer证书吗?

在iOS应用程序中进行HTTPS请求时,并不一定需要将证书文件(cer文件)直接放置在应用程序中。iOS的安全框架会自动管理证书的验证和信任链,通常情况下不需要手动添加证书文件。

iOS应用程序使用的是基于系统信任链的证书验证机制。当应用程序发起HTTPS请求时,系统会自动验证服务器提供的证书是否有效,并检查其是否由受信任的证书颁发机构(CA)签发,以及证书是否过期等。只有当服务器提供的证书通过了这些验证,iOS应用程序才会信任该服务器,并继续进行HTTPS通信。

但是,在某些情况下,可能需要手动管理证书,例如:

  1. 自签名证书:如果服务器使用自签名证书而不是由受信任的CA签发的证书,那么iOS应用程序将无法验证服务器的证书。在这种情况下,你可能需要在应用程序中包含服务器的证书,并在代码中进行相应的证书验证。

  2. 特定安全需求:如果你的应用程序有特定的安全需求,例如要求与特定的服务器建立双向SSL/TLS连接,或者要求验证服务器证书的其他属性,那么可能需要手动管理证书。

总的来说,在大多数情况下,iOS应用程序不需要手动管理证书文件,系统会自动处理证书验证过程。但在一些特定情况下,手动管理证书可能是必要的。

4、做双向认证需要在app中放置cer证书吗?

双向认证(也称为客户端身份验证或双向SSL/TLS认证)通常需要在应用程序中包含客户端证书。这些客户端证书用于向服务器验证客户端的身份。

在iOS应用程序中实现双向认证时,你需要:

生成客户端证书:你需要生成一个客户端证书,并将其包含在应用程序的安装包中。这个证书通常是由受信任的证书颁发机构(CA)签发的,或者是自签名的证书。

在应用程序中使用证书:你需要在应用程序中使用代码来指定要使用的客户端证书。这通常涉及到在TLS连接建立时将客户端证书提供给服务器。

服务器端配置:服务器端需要配置以接受来自客户端的证书,并验证其有效性。服务器端还需要配置以信任这些客户端证书,并允许与其匹配的客户端进行通信。

在iOS应用程序中,通常不需要将客户端证书直接放置在应用程序的安装包中。相反,你可以在应用程序中使用代码来指定证书的位置和使用方式。这样做的好处是可以更灵活地管理证书,并且可以在不重新发布应用程序的情况下更换证书。

总的来说,实现双向认证通常需要在应用程序中包含客户端证书,并在代码中使用该证书来进行身份验证。

5、证书固定(Certificate Pinning) 与 信任系统内置的根证书颁发机构(CA) 有什么区别?

证书固定(Certificate Pinning)和信任系统内置的根证书颁发机构(CA)是两种不同的安全机制,它们都用于确保应用程序与服务器之间的通信安全,但有着不同的工作原理和使用场景。

1、证书固定(Certificate Pinning):

  • 证书固定是一种安全机制,用于防止中间人攻击(Man-in-the-Middle, MITM)和其他网络攻击。
  • 在证书固定中,应用程序会预先存储服务器的公钥或证书信息,并在与服务器建立连接时验证服务器提供的证书是否与预期的证书匹配。
  • 证书固定允许应用程序明确地指定要信任的证书,而不是依赖于系统内置的根证书颁发机构(CA)列表。这样做可以提高安全性,因为即使某个受信任的CA被攻击或滥用,应用程序仍然可以信任特定的证书。

2、信任系统内置的根证书颁发机构(CA):

  • 在TLS/SSL通信中,服务器通常会提供由受信任的CA签发的证书,客户端会使用系统内置的根证书颁发机构列表来验证服务器的证书。
  • 这种机制依赖于操作系统或应用程序内置的一组根证书颁发机构,这些机构被认为是受信任的,客户端会信任由这些机构签发的证书。
  • 信任系统内置的根证书颁发机构可以确保与受信任机构签发的证书进行通信时的安全性,但如果某个受信任的CA被攻击或滥用,那么信任该CA签发的所有证书的安全性可能会受到影响。

总的来说,证书固定和信任系统内置的根证书颁发机构是两种不同的安全机制,证书固定允许应用程序明确地指定要信任的证书,而不依赖于系统内置的根证书列表,从而提高了安全性和控制性。

6、Android HTTPS的请求,一定要在app中放置cer证书吗?

不一定。在 Android 中进行 HTTPS 请求时,通常需要验证服务器的证书以确保连接的安全性。这种验证通常包括将服务器证书与信任的根证书进行比较,以确保证书的有效性和可信任性。

你可以选择在应用程序中包含服务器的证书(通常是 .cer 或 .pem 格式),并在代码中指定该证书用于验证服务器的身份。这种方法称为针对特定证书的证书固定(Certificate Pinning)。

另一种方法是信任系统内置的根证书颁发机构(CA),这样应用程序就可以使用设备上的信任证书列表来验证服务器证书的有效性。这种方法称为系统证书验证。

一般来说,证书固定提供了更高级别的安全性,因为它们限制了可以接受的证书,即使设备上的根证书列表被攻击者篡改也不会受到影响。但是,证书固定也需要更多的维护,因为你需要更新应用程序以包含最新的证书。

对于大多数应用程序来说,使用系统证书验证通常是足够的,并且更加方便,因为它们不需要在应用程序中包含证书。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,186评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,858评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,620评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,888评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,009评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,149评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,204评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,956评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,385评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,698评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,863评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,544评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,185评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,899评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,141评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,684评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,750评论 2 351

推荐阅读更多精彩内容