HTTPS协议

简介

HTTPS(超文本传输安全协议)是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。HTTPS 的作用有:1、内容加密,建立一个信息安全通道,来保证数据传输的安全;2、身份认证,确认网站的真实性;3、数据完整性,防止内容被第三方冒充或者篡改。

连接建立

HTTPS 握手过程.jpg
  • 1、客户端发起请求。

客户端先向服务器发出加密通信的请求,由于客户端对一些加解密算法的支持程度不一样,但是在TLS协议传输过程中必须使用同一套加解密算法才能保证数据能够正常的加解密,因此在这一步,客户端需要向服务器提供以下信息:

1、支持的协议版本,比如TLS 1.0版
2、一个客户端生成的随机数,用于生成对话密钥
3、支持的加密方法,比如RSA公钥加密
4、支持的压缩方法

  • 2、服务器响应请求。

服务端在接收到客户端的请求之后,服务端需要确定加密协议的版本,以及加密的算法,然后也生成一个随机数,以及将自己的证书发送给客户端一并发送给客户端,这里的随机数是整个过程的第二个随机数。

1、协议的版本
2、加密的算法
3、随机数,用于生成对话密钥
4、服务器证书

  • 3、客户端回应。

客户端首先会对服务器下发的证书进行验证,如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。如果验证通过,则向服务器发送以下信息。

1、一个随机数。该随机数用服务器公钥加密,第三个随机数。
2、编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
3、客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

  • 4、服务器回应。

服务端在接收到客户端传过来的第三个随机数的加密数据之后,使用私钥对这段加密数据进行解密,并用它生成本次会话所用的会话密钥,然后向客户端最后发送下面信息。

1、编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
2、服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

HTTPS和HTTP的区别

1、http是超文本传输协议,信息是明文传输;https 则是具有安全性的ssl加密传输协议。
2、HTTP 和 HTTPS 使用的连接方式不同,端口号也不一样,前者是80,后者是443。
3、HTTP 的连接很简单,是无状态的;HTTPS 协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。
4、HTTPS 对传输的数据进行了加解密,因此它比 HTTP 慢。

问题

  • 1、如何保证公钥不被篡改?

数字签名技术
数字签名技术就是对“非对称密钥加解密”和“数字摘要“两项技术的应用,它将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。

将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。

  • 2、证书包含哪些内容?

1、证书颁发机构的名称;
2、证书本身的数字签名;
3、证书持有者的公钥;
4、证书签名用到的Hash算法;

  • 3、如何验证证书的有效性?

1、证书颁发机构的验证。如果是浏览器不认识的机构,直接认为是危险证书;
2、证书篡改的验证。根据浏览器内置的CA,使用它的公钥对数字签名进行解密得到摘要A,然后再根据签名的Hash算法计算出证书的摘要B,对比A与B,若相等则正常,若不相等则是被篡改过的。
3、证书过期失效的验证。浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构,后者会告诉浏览器证书是否还是有效的。

  • 4、HTTPS 比 HTTP 建立连接更耗时吗?

我们可以用以下 curl 相关命令查看连接建立的详细信息:

curl -w "TCP handshake: %{time_connect}, SSL handshake: %{time_appconnect}\n" -so /dev/null https://www.baidu.com/

截图如下:

curl.png

从上图可以看出 HTTPS 连接建立的时间大概是 HTTP 的3倍左右,从而可以知道 HTTPS 建立连接的过程比 HTTP 慢。

  • 5、为什么一定要用三个随机数,来生成会话密钥?

因为客户端和服务器使用三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。如果有人窃取通信数据,他很容易知道双方选择的加密方法,以及三个随机数中的两个,整个通话的安全,取决于第三个随机数 Premaster secret 能不能被破解。

  • 6、HTTPS 都是使用非对称加密加密数据吗?

SSL协议在握手阶段使用的是非对称加密,在传输阶段使用的是对称加密,也就是说在SSL上传送的数据是使用对称密钥加密的。因为非对称加密的速度缓慢,耗费资源。

  • 7、如何避免中间人攻击?

1、中间人攻击一般都是根据 CA 来展开的,因此,不要随意添加第三方 CA 信任;
2、在客户端进行代码层面的证书校验,校验方式一般有两种,证书自身校验和公钥校验;
3、数据传输的时候,对数据本身进行加密;



(待续)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 222,000评论 6 515
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 94,745评论 3 399
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 168,561评论 0 360
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 59,782评论 1 298
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 68,798评论 6 397
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 52,394评论 1 310
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,952评论 3 421
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,852评论 0 276
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 46,409评论 1 318
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 38,483评论 3 341
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,615评论 1 352
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 36,303评论 5 350
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,979评论 3 334
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 32,470评论 0 24
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,571评论 1 272
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 49,041评论 3 377
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 45,630评论 2 359

推荐阅读更多精彩内容