最近搞安全相关的内容,参阅了相关资料,整理了下相关知识,算是旧事重题。
https
Https就是Http跑在SSl或者TLS上,所以我们讨论的原理和流程其实是SSL和TLS的流程。
由于采用了加密通讯,Https无疑要比Http更耗费服务器资源,这也是很多公司明明支持Https却默认提供Http的原因。
https涉及到的主体
1. 客户端。通常是浏览器(Chrome、IE、FireFox等),也可以自己编写的各种语言的客户端程序。
里面包括受信任的CA证书列表
2. 服务端。一般指支持Https的网站,比如github、支付宝。
里面包括服务端私钥,CA证书(包括服务端公钥)
3. CA(Certificate Authorities)机构。Https证书签发和管理机构,比如Symantec、Comodo、GoDaddy、GlobalSign。
里面包括根证书、自签名证书
发明https的动机
1. 认证,例如,客户端访问支付宝,要认证所访问的就是支付宝而不是钓鱼网站。
2. 保证所传输数据的私密性和完整性。
https的工作流程
1. 认证服务器。浏览器内置一个受信任的CA机构列表,并保存了这些CA机构的证书。客户端发起请求给服务端,服务端会提供经CA机构认证颁发的服务器证书,如果认证该服务器证书的CA机构,存在于浏览器的受信任CA机构列表中,并且服务器证书中的信息与当前正在访问的网站(域名等)一致,那么客户端就认为服务端是可信的,并从服务器证书中取得服务器公钥,用于后续流程。否则,浏览器将提示用户,根据用户的选择,决定是否继续。当然,我们可以管理这个受信任CA机构列表,添加我们想要信任的CA机构,或者移除我们不信任的CA机构。
2. 协商会话密钥。客户端在认证完服务器,获得服务器的公钥之后,利用该公钥与服务器进行加密通信,协商出两个会话密钥,分别是用于加密客户端往服务端发送数据的客户端会话密钥,用于加密服务端往客户端发送数据的服务端会话密钥。在已有服务器公钥,可以加密通讯的前提下,还要协商两个对称密钥的原因,是因为非对称加密相对复杂度更高,在数据传输过程中,使用对称加密,可以节省计算资源。另外,会话密钥是随机生成,每次协商都会有不一样的结果,所以安全性也比较高。
协商会话密钥的过程是:客户端随机生成RSA公私钥、会话密钥。客户端使用服务端公钥加密{客户端公钥、客户端会话密钥}并发给服务端。服务端使用私钥解密。服务端随机生成会话密钥。服务端使用客户端公钥加密{服务端会话密钥}。客户端使用私钥解密。
3. 加密通讯。此时客户端服务器双方都有了本次通讯的会话密钥,之后传输的所有Http数据,都通过会话密钥加密。这样网路上的其它用户,将很难窃取和篡改客户端和服务端之间传输的数据,从而保证了数据的私密性和完整性。
使用https的流程
1. 使用OpenSSL等工具生成服务器私钥
2. 使用OpenSSL等工具,结合服务器私钥、其他服务器信息等,生成证书请求CSR文件
3. 将CSR文件发送给GlobalSign等CA结构,支付相应的费用,获得CA机构颁发的服务证书
4. 在服务端配置https服务
https的问题说明
1. SSL是对传输的数据进行加密,针对的是传输过程的安全,Firebug和postman之类的浏览器调试工具得到的是客户端加密之前/解密之后的数据,因此是明文的
2. 自签名证书就是自己生成的证书,并不是官方生成的证书,除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱的。
