闲谈https的安全性

原创 2007年10月12日 00:17:00
 https想必大家都不陌生了吧,目前很多网站都提供了https的访问,网上有很多介绍相关的资料,什么SSL,数字证书,数字签名,RSA,MD5等等,这里我想谈谈我们目前所应用的https的机制和安全性,对于一些基本的概念,请大家搜索一下相关资料,非常多。
  我先来给大家看个例子,比如我现在访问https://www.abcd.com,则IE一般情况就会出现如下的提示
 
如果你点击“是”,则便可以进入到该网站访问,而同时,在你的IE地址栏里会有一把锁,我们不禁要反问,这样真的安全吗?我个人的体会和分析是,这样通常情况下来说,只能是半安全,请听我慢慢道来
HTTPS协议的原理是这样:它只是使用非对称加密的方式加密一个密钥,然后双方使用这个密钥对传输的明文数据进行对称加密。非对称常用的是RSA,对称常用D­ES等,关于完整性检验等MD5算法这里就不说了。

它们的过程是这样的:
客户端发起连接,向服务器发送ClientHello报文,主要内容包括自己支持的各种算法列表,比如非对成加密的支持哪些,对成加密的支持哪些等等。

服务器收到消息之后,和自己支持的加密算法对比,找出双方都支持的算法,然后服务器把自己的证书,常见的是X509证书,发送给客户端,这个就是ServerH­ello报文,包含被选中的加密算法,X509证书等内容,证书中包含服务器的公钥等内容。

客户端接受到了证书之后获取服务器的公钥,随即生成一个字符串,使用服务器的公钥加密,发送给服务端。

服务端用自己的私钥解开这个加密串,得到明文。

然后服务器和客户端之间就使用这个串作为密钥,来作对称加密。

这样https的会话连接就建立了

详解HTTPS是如何确保安全性的?

来自: Android梦想特工队 作者: Aaron 主页: http://www.wxtlife.com/ 原文连接: http://www.wxtlife.com/2016/03/2...
  • wx_962464
  • wx_962464
  • 2016年04月02日 11:03
  • 7678

https比http到底那里安全?

HTTPS和HTTP的概念 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTT...
  • qiandublog
  • qiandublog
  • 2016年12月02日 14:03
  • 2039

网站安全性测试

网站安全性测试, OWASP
  • cassaba
  • cassaba
  • 2015年10月20日 15:13
  • 1148

Https证书校验不当引起的安全问题

1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做...
  • Hubert_bing
  • Hubert_bing
  • 2017年02月16日 14:28
  • 2611

关于最近https安全性的争论

最近在微博上一个名为奥卡姆剃刀的博主和信息安全界众多人争吵了两天,当然包括我。 起因是央视节目说wifi的不安全性,银行密码也可被窃取,可能博主有对国内媒体的天生不信任感,所以他站出来了,说银行密码...
  • mapleandkw
  • mapleandkw
  • 2015年01月04日 19:42
  • 468

HTTP与HTTPS的安全性讨论

转载文章:http://blog.csdn.net/xifeijian/article/details/54667989 1、http为什么不安全? http协议属于明文传输协议,交互过程以及数据...
  • zgaoq
  • zgaoq
  • 2017年12月30日 22:19
  • 12

使用HTTPS与SSL来保证安全性

原文链接:https://developer.android.com/training/articles/security-ssl.html SSL,安全套接层(TSL),是一个常见的用来加密客户端...
  • u012354475
  • u012354475
  • 2016年08月02日 11:26
  • 2177

Https为什么是安全的

原文地址:http://blog.sina.com.cn/s/blog_591c7a8f0102vdoa.html 前言        我目前在百度从事HTTPS方面的性能优化工作。百度无线搜...
  • tanga842428
  • tanga842428
  • 2016年11月13日 09:54
  • 1453

使用HTTPS(提高网站安全性)

参考1 :ghost-letsencrypt-https 参考2:在Amazon Linux 上 使用 Let’s encrypt 免费的SSL 这两天是迭代间隙,刚好有点空,部署了一个...
  • yeshennet
  • yeshennet
  • 2017年05月13日 17:57
  • 872

Android通信安全之HTTPS

HttpsHTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HT...
  • xiangzhihong8
  • xiangzhihong8
  • 2017年03月07日 22:03
  • 1200
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:闲谈https的安全性
举报原因:
原因补充:

(最多只允许输入30个字)