1.SSL
1.1 什么是SSL
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。
http+ssl/tsl = https
2.对称加密&非对称加密
- 非对称加密
私钥加密=>公钥可解密
公钥加密=>私钥可解密
公钥加密=>公钥不可解密
非对称加密,在获取公钥的过程中,如果被拦截,返回给客户端自定义的公私钥,还是存在安全问题
- hash算法、摘要算法
hssh(入参)=结果
相同入参必然得到相同结果,过程不可逆,用于数据数据传输过程中,防篡改
- 数字签名
hash(公钥)=公钥签名/摘要
- 防止公钥被拦截?
3.CA机构参与/CA伪造
CA 就是上图中的"第三方"
4.https真的安全? 模拟如何破解
- https 请求流程
5.301、302、307跳转陷阱
- http重定向到https
301:(永久移动)不限制域名
302:(临时移动) 不限制域名
307: (临时移动) 域名必须相同http ->https
308:(永久移动) 域名必须相同http ->https