区别:HTTP 是明文传输的,容易泄漏信息,所以大多数应用都会升级为 HTTPS
HTTP 底层是用 TCP 传输的,HTTPS 就是在 TCP 和 HTTP 之间加了一层加密和认证的协议,这一层叫做 SSL/TLS。
为什么叫这个名字呢?
因为最早的时候是 SSL 协议,但是后来发现了漏洞,就改为 TLS 协议了,而且 TLS 协议也在不断的升级,从 1.1、1.2 到了现在的 TLS 1.3。
不管叫 SSL 还是叫 TLS,都是指的这一层。
重点:这一层就实现了加密、身份认证,还有防篡改的功能。
什么是加密?
加密很容易理解,就是通过一种加密算法对内容进行处理,生成密文,然后另一端通过解密算法把密文处理成原始内容。
只有加密解密还不够 为了每次都不一样,所以会有密钥的存在
这个密钥是随机生成的,所以只能一端生成以后告诉另一端。
那么问题来了,怎么把这个密钥安全的告诉另一端呢?
这就得用到一种特殊的加密算法 — 非对称加密了。
非对称加密:用一个密钥加密的数据只能另一个密钥解密,这个暴露出去的密钥就叫做公钥,留下的密钥叫做私钥。
前面提到 TLS 层主要是实现了加密、身份认证、防篡改的功能。
加密是用对称加密的方式,用到的密钥通过基于公私钥的非对称加密机制来传递。
那身份认证怎么做呢?
其实也是通过公私钥的机制,刚才提到了公钥加密的内容只能私钥解密,这保证了信息的安全传递。
那反过来,私钥加密的数据,如果用公钥能解开,这不就证明了信息是你传递的么?因为私钥只有你有。
所以,私钥的加密又叫做签名,可以用来做身份的认证
一般是对传输的信息做一次 hash,生成数据指纹,然后用私钥加密这个数据指纹,也就是对它进行签名。
这样数据传递到另一端,用公钥把数据指纹取出来,再对内容做一次 hash,生成一份数据指纹,两者对比一下,如果一样,就说明没有被篡改。
这就是 TLS 层的第三个功能,防篡改,也就是保证数据的完整性。
非对称加密的算法是公开的,你可以生成公私钥,别人也可以,那怎么保证我拿到的公钥是你的呢?
数字证书
现在的问题是怎么验证公钥是某个人的。
如果我有信得过的人,他说这个公钥是那个人的,我就相信。基于这样的信任来验证可以么?
也就是说我信任的人有自己的公私钥,他用私钥对这段信息签名,我收到信息后用他的公钥来解密,发现能解密出其中的信息,说明这是被他签名过的,我就相信我收到的公钥是可靠的。
解决方式是操作系统内置了一批信得过的机构的公钥,经过这些机构签名的,就一定是对方的公钥。
这种信得过的机构叫做 CA(Certification Authority),电子认证机构,经过 CA 认证的公钥和相关信息,就叫做数字证书。
操作系统内置了所有可信的 CA 的证书,也就是 CA 的公钥和相关信息,叫做根证书。
为什么都是三级呢?
因为这样万一中级证书不能信任了,还可以让根证书再找一个中级证书,因为信任根证书,也自然信任这个新的中级证书,但如果根证书直接信任某个网站的证书,万一根证书被攻破不能信任了,那就找不到可以信任的了。
所以,三级证书会更安全一些。
9558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
