HTTP、HTTPS、SSL、证书的关系

最新推荐文章于 2024-04-03 10:21:54 发布
最新推荐文章于 2024-04-03 10:21:54 发布
阅读量7.3k 收藏 2
点赞数
分类专栏: android 文章标签: ssl security 网络 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lintcgirl/article/details/52066875
版权

参考文档:
https://developer.android.com/training/articles/security-ssl.html?hl=zh-cn
https://github.com/square/okhttp/wiki/HTTPS

SSL(Secure Sockets Layer)以及TSL(Transport Layer Security)是在传输层对网络连接进行加密,保证数据不被窃听与截取。
通用规格为40bit,美国推出128bit高安全标准。这个是作为RC4流加密算法。

SSL协议包括两层

  • SSL记录协议:数据封装、压缩、加密
  • SSL握手协议:通讯双方进行身份认证,协商加密算法、交换加密秘钥

HTTPS = HTTP + SSL
HTTPS使用的是443端口,而HTTP使用的是80端口。
HTTPS与SSL使用x.509数字认证。

这里写图片描述

注:
CA:Certificate Authority(证书颁发机构)
Certificate:证书,包括public key。
CA会下发给Server一个证书,该证书是可被信任的,Server发送数据会Client的时候,Client通过校验该证书来检验Server是否合法有效。Client如何去校验证书呢?在Client端会存储被信任的证书集合,如果该证书属于该集合,则有效,否则无效,抛出异常。

在Android4.2中,有超过100个证书。
每一个证书颁发给Server,host唯一识别,例如**.google.com。

如果我们要处理证书相关的东西,URLConnection已经不能满足我们现有的需求,需要使用URLConnection的子类HttpURLConnection。它提供的操作更多,可以方便你处理Request的一些参数要求等。

一些证书相关的问题需要考虑

getInputStream()可能会抛出

javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
        at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:374)
        at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:209)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:478)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:433)
        at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:290)
        at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:240)
        at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.java:282)
        at libcore.net.http.HttpURLConnectionImpl.getInputStream(HttpURLConnectionImpl.java:177)
        at libcore.net.http.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:271)

导致上述原因有以下几种可能

  • The CA that issued the server certificate was unknown,简而言之就是CA是不合法的。可以设想以下如果连颁发证书的机构都是不合法的,那么它颁发的证书也是不合法的。
    很多时候,CA不是public的,有些可能是私人机构,例如政府、公司、教育机构等,他们有自己的私人用途。这个时候需要教HttpURLConnection去信任这样的私人证书。主要是通过TrustManager来完成这一过程,下面是官方的一段话。
    Fortunately, you can teach HttpsURLConnection to trust a specific set of CAs. The procedure can be a little convoluted, so below is an example that takes a specific CA from an InputStream, uses it to create a KeyStore, which is then used to create and initialize a TrustManager. A TrustManager is what the system uses to validate certificates from the server and—by creating one from a KeyStore with one or more CAs—those will be the only CAs trusted by that TrustManager.
    Given the new TrustManager, the example initializes a new SSLContext which provides an SSLSocketFactory you can use to override the default SSLSocketFactory from HttpsURLConnection. This way the connection will use your CAs for certificate validation.
    Here is the example in full using an organizational CA from the University of Washington:
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
    caInput.close();
}

// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);

// Tell the URLConnection to use a SocketFactory from our SSLContext
URL url = new URL("https://certs.cac.washington.edu/CAtest/");
HttpsURLConnection urlConnection =
    (HttpsURLConnection)url.openConnection();
urlConnection.setSSLSocketFactory(context.getSocketFactory());
InputStream in = urlConnection.getInputStream();
copyInputStreamToOutputStream(in, System.out);
  • Self-signed server certificate,就是服务器把自己当做CA,来自己颁发了一个证书,那当然,这个证书也是无效的,因为CA就是无效的。这个问题的解决和上个问题一样,这里不再赘述。
  • Missing intermediate certificate authority,缺少中间证书机构。这里涉及到一个证书链的问题,根证书下面有子证书,根证书机构可以给子证书机构颁发证书,子证书机构可以给孙子证书机构颁发证书,这些都算是可被信任的证书机构。像Android这种,只相信根证书机构和根证书,所以在server下发证书的时候,不会只下发自己的证书,而是下发一个证书链。那些子证书就叫做intermediate certificate authority,拿到证书链,通过这些子证书就可以拿到根证书,只要验证根证书是否被信任即可。所以如果下发的证书缺少中间证书的话,就会失败。

下面是验证主机名(Hostname)的问题
验证SSL connection有两步:

  • 验证证书是否合法(这是我们前面所讲到的东西)
  • 验证服务器是否有正确的证书(即我们想要的那个证书)
想当包租婆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解HTTPS中的证书
Ma_shiro的博客
09-26 4303
HTTPSHTTP 在提到HTTPS证书之前,我们都不可避免会提及HTTPHTTPS的区别,两者都是进行报文传输的超文本传输协议,但是HTTPS却多出了一个S也就是SSL层(Secure Sockets Layer 安全套接字协议),现在也被称为TLS,我们都知道SSL中的保证安全的加密通信是一次对称加密和非对称加密的结果,但是客户端与服务端建立通信的前提就是服务端是否能够被证书发型机构CA授予证书,那证书是怎么样的呢。 证书 SSL证书可以向CA机构通过付费的方式申请,也可以自己制作。 CA机构颁发
spring-boot-starter-acme:轻松为Spring Boot应用程序生成SSL证书
01-30
Spring Boot Starter ACME Spring Boot模块旨在缓解使用自动证书管理环境(ACME)协议生成有效SSL证书的麻烦。 该项目取决于库。 依存关系 该模块取决于在PATH上具有openssl来将证书转换为PKCS12格式。 Maven <dependency> <groupId>com.creactiviti</groupId> <artifactId>spring-boot-starter-acme</artifactId> <version>0.0.1-SNAPSHOT</version> </dependency> <repositories> <repository> <id>maven-snapshots</id> <url>http://oss.sonatype.org/content/repositories/snapshots</url> <layout>default</layout> <releases> <enabled>false</enabled
详解 HTTPS、TLS、SSLHTTP区别和关系
SSL加密技术
07-11 915
HTTPS,也称作HTTP over TLS。TLS的前身是SSL,TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。下图描述了在TCP/IP协议栈中TLS(各子协议)和HTTP关系
什么是 HTTPS 证书?作用是什么?
TG_punkll的博客
03-01 274
通过百川云网站监测,您可以实时监测证书过期、不安全算法等情况,及时采取措施,确保您的网站始终处于安全状态
HTTPS证书
weixin_43975162的博客
09-16 6180
本文为我在学习HTTPS加密传输与证书在其中发挥的作用时,参考许多文章而写出的总结。
谈谈https证书
leapmotion的博客
10-30 7179
1. 前言 本篇文章我们讲解下关于https证书的相关知识,因为我发现不理解证书感觉很难理解https,所以本篇会花大量的篇幅来讲证书,我们一开始会讲解一些相关概念帮助大家理解下,然后我们自己签发一个证书来理解这个过程,最后通过实例和抓包帮助大家理解https。因为本篇文章有很多代码及配置文件相关,最好通过电脑打开查看,篇幅很长,感谢耐心。 2. 概念区分 见到https时就会有很多不知道的概念,我们这里来区分下: HTTPShttps即为http及其下边一层的可靠的安全加密的传输协议(tls/ssl
什么是HTTPS证书HTTPS证书怎么申请?
最新发布
u012062803的博客
04-03 712
而且,由于数据是经过加密的,入侵者也无法篡改数据内容,从而确保了数据的完整性。这样,当我们在浏览器中看到小锁标志时,就可以确信我们正在访问的网站是真实可信的,而不是一个假冒的网站。当我们在浏览器中输入一个网址时,如果该网站使用了HTTPS证书,那么浏览器地址栏会显示一个小锁标志,表示该网站是安全的。当一个网站获得HTTPS证书后,它会激活网站的HTTPS协议,使得用户与网站之间的所有通信都经过加密处理。选择证书类型和期限:首先,根据网站的需求和预算,选择合适的证书类型和期限。
计算机网络 深入理解HTTPS协议&证书
m0_59292239的博客
08-03 360
计算机网络 深入理解HTTPS协议&证书
ssl-checker:简单的 perl 脚本检查 SSL 功能
06-19
它还将对证书进行一些检查并提供有关托管的信息。 用法 创建一个名为“urls”的文件。 它可能是一个包含三列的 CSV: 实体名称 主要主机名 一个子域 然后脚本将在文件内容上循环并运行一系列检查。 然后它将创建一...
openssl数据加解密及证书使用例子
09-28
最近在做IOT项目,使用到TLS,对密匙,证书比较模糊的,通一段时间学习整理该文档。...通过该文档,对密匙,证书之间的关系有一个很好的理解。同时对openssl工具有一个初步认识。文档的所有命令都是测试通过的。
c++ 发送https POST请求并获取返回数据(包含appKey与appSecret)
05-24
c++ 发送https POST请求并获取返回数据(包含appKey与appSecret)
ezl.js:轻松进行SSL CA和证书生成,以进行mitm测试等
04-29
简便的SSL CA和证书生成,可进行mitm测试等。 安装 $ npm install --save ezl 依存关系 的OpenSSL 打击壳 原料药 认证机构 import { CA } from 'ezl' ; // Generates a new CA let ca = await CA . generate ( ) ;...
https证书是什么?
wenwen9961的博客
05-12 207
部署于国内的验签服务器3-5分钟极速签发,而且只需要简单的域名解析验证,即可让您的网站开启https安全协议。数字证书授权机构(CA,Certificate Authority)是管理和签发安全凭证和加密信息安全密钥的网络机构,承担公钥体系中公钥的合法性检验的责任,需要对用户、企业的身份真实性进行验证,其权威性、公正性十分重要,JoySSL只选择和顶级权威的 CA 机构合作,提供安全有保障的 SSL 证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL
我理解的HTTPS——协议、证书和使用示例
qq_32717909的博客
04-21 1263
我理解的HTTPS——协议、证书和使用示例 1.https协议与证书的使用 1.1https/SSL/TLS之间的关系 SSL协议(Secure Sockets Layer)是NetScape公司1994年设计的1.0版安全套接层协议,该协议最多出到3.0版本。1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版,2018年推出的1.3版本是当前(20...
HTTPS的理解(证书、认证方式、TLS握手)
迷雾总会解
09-12 5239
HTTP 存在的问题没有加密,无法保证通信内容不被窃听。没有报文完整性验证,无法确保通信内容在传输中不被改变。没有身份鉴别,无法让通信双方确认对方身份。HTTP over SSL,在 HTTP 传输上增加了传输层安全性(TLS)或安全套接字层(SSL),通过信息加密、数据完整性校验、身份鉴别为 HTTP 事务提供安全保证。SSL 会对数据进行加密并把加密数据送往 TCP 套接字,在接收方,SSL 读取 TCP 套接字的数据并解密,把数据交给应用层。
HTTPS协议、TLS协议、证书认证过程解析
weixin_30639719的博客
11-08 678
一、HTTPS 协议 HTTPS协议其实就是HTTP over TSL,TSL(Transport Layer Security)传输层安全协议是https协议的核心。 TSL可以理解为SSL (Secure Socket Layer)安全套接字层的后续版本。 TSL握手协议如下图所示 (注:图片来源于google图片) 在建立TCP连接后,开始建立TLS连接。下面抓包分析TLS握...
Http SSL 即(HTTPS)证书的深入理解及证书管理方法
花飘万家雪
10-14 2290
在Windows下按Windows+ R, 输入certmgr.msc,在“受信任的根证书颁发机构”-“证书中”找到“ROOTCA”,截止日期2025/08/23,单击右键,属性,可以查看其属性“禁用此证书的所有目的”。 点【只启用下列目的】,可以查看根证书可以对计算机有哪些操作: 未经用户许可偷偷添加根证书信任是非常严重的行为! 关键点在未经用户许可,这种行为好比,你请某宝到你家来做客...
httpsssl分别是什么?有什么关系
SSL加密技术
08-23 9735
网络已经成为我们生活和工作中不可分割的一部分,我们大部分的活动都要在网络上进行,比如网购、E-mail、浏览网页等等。而我们在进行这些操作时,可能会涉及到很多隐私数据的传输,这就需要我们考虑一个问题,网络真的安全吗?想要保证网络的基本安全,首先得了解什么是httpsssl?他们之间存在什么样的关系?以及他们的作用是什么? 一、什么是httpsssl ssl全称是Secure Sockets...
关于HTTPS,SSL,TSL,ACME协议之间的关系
06-12
HTTPS是一个安全的HTTP协议,通过SSL或TSL加密通信来保障数据的安全性。SSL和TSL是加密通信的协议,其中SSL已经被TSL所取代。ACME协议是一种自动化证书管理协议,可以自动化地申请、颁发、安装和更新SSL/TSL证书。因此,HTTPS协议使用SSL或TSL协议进行加密通信,并且需要使用ACME协议来进行证书的管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值