HTTPS的一些研究

https就是在http的基础上增加一层加密算法,这一层算法我们叫TLS或者SSL。但具体 TLS/SSL 确一直不怎么了解,这次通过一些问题熟悉下 TLS/SSL 。

对称加密 和 非对称加密

对称加密是指用同一个密钥就可以完成加密和解密的操作。

这和具体的加解密的算法无关,只要是用的同一个密钥,哪怕加解密不是用的同一种算法,但他也是对称加密。

与之对应的是非对称加密,非对称加密要两个密钥,加密用的我们称之为公钥,解密用的我们称之为私钥。因为加密密钥可以公开,只要你们用加密密钥,我就能保证我用解密密钥解出来,所以加密密钥成为公钥,而解密密钥要自己保存,称为私钥。

针对HTTP传输的场景,用哪种加密更好:

对称加密:因为对称加密密钥同一个,而在客户端/浏览器端存放密钥是不安全的,所以只要客户端的密钥泄露了,这个加密就破解了。

非对称加密:相比下非对称加密就很安全,但是有个效率上的问题:非对称加密一般由于算法复杂,计算需要时间,而且在传输大量内容的情况下效率就会更加低下,这对HTTP场景就是个缺陷了。

HTTPS解决的方案是用非对称加密的方案加密密钥,再使用该密钥进行对称加密。

TLS/SSL 是对称加密还是非对称加密?

答:TLS本身是一个混合加密系统,也就是说它使用了对称加密和非对称加密两种方式。具体流程如下:

  1. 客户端向服务端打招呼,请求建立HTTPS链接(客户端发送Client Hello 消息到服务器,并携带了TLS版本和一个客户端随机数),此时是明文传输

  2. 服务端收到后,返回证书和一个服务器随机数(公钥包含再证书里),此时是明文传输

  3. 客户端验证证书有效性,若有效,则拿着随机数生成一个pre-master key(也就是后面传输用的密钥),并用证书中的公钥进行加密,传给服务器。服务器拿着pre-master key可以算出密钥。 此时是非对称加密。

  4. 客户端拿着这个密钥和服务器进行通信。对称加密

CA(证书签发机构)和证书的作用

证书签发机构,又称CA(Certificate Authority),负责证书的签发,而证书的主要作用是验证该网站的身份。

举个例子,比如说A向B请求建立HTTPS通信,C想在中间捣乱。不能说因为B持有证书,所以C就无法捣乱,因为C也可以去申请一个证书,证书的申请与该网站的性质(是不是好网站、坏网站)没有关系,而是要验证B是B,C是C。A拿着请求到的证书就知道数据是B返回的还是C返回的,也就排除了C假装B回消息的可能。

为什么不用签名,而是用证书

签名就是非对称加密的另一种用法。一个文件(或数据),我用私钥进行加密,得到一串xxxx,然后将该文件和xxxx公布出去。这时另一个人想下载该文件(或读取该数据),就可以对xxxx用公钥做解密,如果最终结果和该文件是一样的,就证明该文件是我给你的。

证书内部其实用到的也是签名,只不过签名也需要公钥,这样就又得证明证书的公钥是来自我的,这就又要对证书的公钥进行签名,然后证书公钥的公钥也要签名,这样就没有尽头了。所以CA的作用就体现出来了,CA说在这我列出来的这一堆公钥里面,你客户端必须无条件信任(不然就没完了),这堆公钥就叫做根证书。

CA会跟操作系统合作,把根证书埋在操作系统里,所以只要客户端拿到证书后,只要证书一层层往上找,只要能有一个被跟操作系统中的根证书认证,那咱就信任这个公钥了,上面的流程也就走通了。

客户端的安全

  1. 没有绝对的安全。技术的发展就是这样,加密-破解-反破解-更强的加密-....,而且就算是不可逆的算法(md5),也能通过暴力的方法(数据库查找)来找到元数据,所以我们所做的只是增加破解难度。但现阶段来说,https是安全的。
  2. 使用HTTPS;
  3. 业务数据使用对称加密;敏感信息(如密码)使用不可逆加密;
  4. 跟金额相关,要做多重验证(比如前端传一个价格,后端要自己查下接口验证下价格是否正确);
  5. 混淆、app加固;
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,125评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,293评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,054评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,077评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,096评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,062评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,988评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,817评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,266评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,486评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,646评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,375评论 5 342
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,974评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,621评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,642评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,538评论 2 352

推荐阅读更多精彩内容