HTTPS原理解析—层层深入,刨根问底(1)

最新推荐文章于 2024-09-03 17:00:00 发布
最新推荐文章于 2024-09-03 17:00:00 发布
阅读量720 收藏 23
点赞数 22
分类专栏: 程序员 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84415451/article/details/138429527
版权
  1. 为什么用了 HTTPS 就是安全的?
  2. HTTPS 的底层原理如何实现?
  3. 用了 HTTPS 就一定安全吗?

本文将层层深入,从原理上把 HTTPS 的安全性讲透。

HTTPS 的实现原理

大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密,而加密过程是使用了非对称加密实现。但其实,HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。

HTTPS的整体过程分为证书验证和数据传输阶段,具体的交互过程如下:

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

** ① 证书验证阶段**

  1. 浏览器发起 HTTPS 请求
  2. 服务端返回 HTTPS 证书
  3. 客户端验证证书是否合法,如果不合法则提示告警

** ② 数据传输阶段**

  1. 当证书验证合法后,在本地生成随机数
  2. 通过公钥加密随机数,并把加密后的随机数传输到服务端
  3. 服务端通过私钥对随机数进行解密
  4. 服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输

为什么数据传输是用对称加密?

首先,非对称加密的加解密效率是非常低的,而 http 的应用场景中通常端与端之间存在大量的交互,非对称加密的效率是无法接受的;

另外,在 HTTPS 的场景中只有服务端保存了私钥,一对公私钥只能实现单向的加解密,所以 HTTPS 中内容传输加密采取的是对称加密,而不是非对称加密。

为什么需要 CA 认证机构颁发证书?

HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器,而 HTTPS 协议主要解决的便是网络传输的安全性问题。

首先我们假设不存在认证机构,任何人都可以制作证书,这带来的安全风险便是经典的**“中间人攻击”**问题。
“中间人攻击”的具体过程如下:

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

过程原理:

  1. 本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器
  2. 中间人服务器返回中间人自己的证书
  3. 客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输
  4. 中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密
  5. 中间人以客户端的请求内容再向正规网站发起请求
  6. 因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据
  7. 中间人凭借与正规网站建立的对称加密算法对内容进行解密
  8. 中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输
  9. 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

浏览器是如何确保 CA 证书的合法性?

1. 证书包含什么信息?
  • 颁发机构信息
  • 公钥
  • 公司信息
  • 域名
  • 有效期
  • 指纹
2. 证书的合法性依据是什么?

首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

3. 浏览器如何验证证书的合法性?

浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书,浏览器需要对证书做以下验证:

  1. 验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证;

  2. 判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  1. 判断证书是否被篡改。需要与 CA 服务器进行校验;

  2. 判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第3步中以减少与 CA 服务器的交互,提高验证效率

以上任意一步都满足的情况下浏览器才认为证书是合法的。

这里插一个我想了很久的但其实答案很简单的问题:
既然证书是公开的,如果要发起中间人攻击,我在官网上下载一份证书作为我的服务器证书,那客户端肯定会认同这个证书是合法的,如何避免这种证书冒用的情况?
其实这就是非加密对称中公私钥的用处,虽然中间人可以得到证书,但私钥是无法获取的,一份公钥是不可能推算出其对应的私钥,中间人即使拿到证书也无法伪装成合法服务端,因为无法对客户端传入的加密数据进行解密。

4. 只有认证机构可以生成证书吗?

如果需要浏览器不提示安全风险,那只能使用认证机构签发的证书。但浏览器通常只是提示安全风险,并不限制网站不能访问,所以从技术上谁都可以生成证书,只要有证书就可以完成网站的 HTTPS 传输。例如早期的 12306 采用的便是手动安装私有证书的形式实现 HTTPS 访问。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

总结

最后对于程序员来说,要学习的知识内容、技术有太多太多,要想不被环境淘汰就只有不断提升自己,从来都是我们去适应环境,而不是环境来适应我们!

这里附上上述的技术体系图相关的几十套腾讯、头条、阿里、美团等公司2021年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。

相信它会给大家带来很多收获:

当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作和能力提升中甩开同龄人。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》点击传送门,即可获取!
才能在工作和能力提升中甩开同龄人。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》点击传送门,即可获取!

2401_84415451
关注
专栏目录
Java 的 DOM4J 库高级进阶:刨根问底的深度解析
java专栏
09-13 937
好了,我们已经一起探索了 DOM4J 的一些高级概念,包括 XPath 查询、创建和修改 XML 文档以及处理命名空间。通过这些示例代码,我们不仅了解了 DOM4J 的基本用法,还深入到了一些高级技巧。希望这篇文章能够帮助你在 DOM4J 的旅途中更进一步!🌟现在你已经掌握了 DOM4J 的基本知识和一些高级技巧,是时候开始实践了!记得在实践中多尝试不同的 XPath 查询选项,这样你才能真正掌握 DOM4J 的魅力。最后,不要忘记享受编程带来的乐趣哦!🎉DOM4J 官方文档DOM4J 最佳实践。
C# 的 AutoMapper 库入门:刨根问底的深度解析
java专栏
08-19 1112
Automapper 允许我们定义自定义映射逻辑。set;set;set;set;set;set;set;// 初始化 AutoMapperget;set;get;set;get;set;get;set;get;set;get;set;get;set;// 初始化 AutoMapper var config = new MapperConfiguration(cfg => {});// 创建 Person 对象 var person = new Person {
https的底层原理
一只小菜姬的博客
05-31 435
1.加密 ​ 加密有两种:对称加密和非对称加密 对称加密 发送端通过f(x,k)=y,也就是发送端将信息x通过常量k经过一定的算法得到加密过后的y 接收端通过f(y,k)=x,也即是通过得到的y和k通过一定的算法得到x。 这种方式较为简单,k都是要放在传输的信息当中。比较容易破解 非对称加密 也就是发送端和接收端都是通过不同的值来加密和解密的 发送端通过f(x,a)=y,发送端通过a和一定的算法得到加密过后的y 接收端通过f(y,b)=x,接收端通过b和一定的算法得到解密过后的x x
HTTPS 原理分析——带着疑问层层深入
m0_61042126的博客
03-19 292
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPSHTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了:为什么用了 HTTPS 就是安全的?HTTPS 的底层原理如何实现?用了 HTTPS 就一定安全吗?本文将层层深入,从原理上把 HTTPS 的安全性讲透。HTTPS 的实现原理
HTTPS协议及其工作原理
Boone的博客
02-17 6387
123456
大型网站的 HTTPS 实践(一)—— HTTPS 协议和原理(转)
weixin_30787531的博客
05-06 210
原文链接:http://op.baidu.com/2015/04/https-s01a01/ 1 前言 百度已经于近日上线了全站 HTTPS 的安全搜索,默认会将 HTTP 请求跳转成 HTTPS。本文重点介绍 HTTPS 协议, 并简单介绍部署全站 HTTPS 的意义。 2 HTTPS 协议概述 HTTPS 可以认为是 HTTP + TLS(Transport Layer Secu...
HTTPS协议的工作原理
pigff的博客
09-08 9070
上一篇文章说到HTTP的缺点,并引入了HTTPS,这篇文章来看看HTTPS通信的原理是怎样的。(其实抛去HTTP协议,HTTPS就剩下一个Secure安全协议,可以是SSL或是TLS,我们主要探讨的是这种安全机制是怎么实现的) 因为HTTP有以下三个缺点:无加密,无身份认证,无完整性保护,因此所谓的HTTPS,它其实就是HTTP+加密+身份认证+完整性保护。HTTPS并不是一种新的协议,在通信接...
Java 的 Joda-Time 库高级进阶:刨根问底的深度解析
java专栏
09-02 679
好了,我们已经一起探索了 Joda-Time 的一些高级概念,包括时区处理、日期和时间计算、格式化输出等。通过这些示例代码,我们不仅了解了 Joda-Time 的基本用法,还深入到了一些高级技巧。希望这篇文章能够帮助你在 Joda-Time 的旅途中更进一步!🌟现在你已经掌握了 Joda-Time 的基本知识和一些高级技巧,是时候开始实践了!记得在实践中多尝试不同的配置选项,这样你才能真正掌握 Joda-Time 的魅力。最后,不要忘记享受编程带来的乐趣哦!🎉使用LocalDateLocalTime。
C# 的 Newtonsoft.Json 库高级进阶:刨根问底的深度解析
最新发布
java专栏
09-03 768
Newtonsoft.Json 支持自定义转换器,这使得我们可以定义自己的序列化和反序列化逻辑。比如,我们可以定义一个转换器来处理日期时间格式。// 🕒 解析 JSON 字符串中的日期时间 return DateTime . Parse((string) reader . Value);// 📋 格式化日期时间为特定格式 writer . WriteValue(value . ToString("yyyy-MM-dd HH:mm:ss"));
Java 的 Reactor 库高级进阶:刨根问底的深度解析
java专栏
08-26 328
好了,我们已经一起探索了 Reactor 的一些高级概念,包括操作符、错误处理、背压处理等。通过这些示例代码,我们不仅了解了 Reactor 的基本用法,还深入到了一些高级技巧。希望这篇文章能够帮助你在 Reactor 的旅途中更进一步!🌟现在你已经掌握了 Reactor 的基本知识和一些高级技巧,是时候开始实践了!记得在实践中多尝试不同的操作符组合,这样你才能真正掌握响应式编程的魅力。最后,不要忘记享受编程带来的乐趣哦!🎉Reactor 官方文档响应式编程入门Reactor GitHub 仓库。
HTTPS底层实现原理
qq_42087460的博客
06-14 3972
Https底层实现原理
http协议的底层实现
热门推荐
wangxiaopeng1103的博客
08-24 2万+
1.http协议: 超文本传输协议,可以传递各种类型的文件,是使用最广泛的协议模式 2.http协议的底层是在应用层里,是一个特殊处理的socket,建立在TCP/IP协议之上的一种广泛应用 2.1.服务器先初始化一个socket,与端口绑定,对端口进行监听,调用阻塞,等待客户端的连接 2.2.初始化客户端的socket,与服务器的socket连接,需要经过三次握手 第一次握手:客户端
HTTP/HTTPS底层原理揭秘
BIggyGuan的博客
08-12 2254
这篇文章不详细讲解HTTP协议 基本的HTTP大家应该熟悉,这里就不额外进行详细的讲解了。 计算及网络分层 应用层 传输层 网络层 数据链路层 物理层 HTTP http(超文本传输协议) ,是用于应用层,用来进行服务端和客户端进行文件传输的协议。 HTTP是无连接,无状态的一种协议,常用的HTTP1.0,常用端口为80端口,其是以TCP为基础进行的传输。 在HTTP的所有传输过程中,你的数据包全部是明文显示 HTTP1.1 缓存处理, 在header中加入了if-modified-Since,E
https协议原理(图解)
qq_43154385的博客
04-11 1345
WEB服务存在httphttps两种通信方式,http默认采用80作为通讯端口,对于传输采用不加密的方式,https默认采用443,对于传输的数据进行加密传输 目前主流的网站基本上开始默认采用HTTPS作为通信方式,一切的考虑都基于对安全的要求,那么本文的主要内容就是:https加密传输的原理 1、https原理通俗讲解 https=http+ssl,顾名思义,https是在http的基础...
HTTPS 原理与实现
weixin_39214481的博客
06-02 5388
HTTPS 简介在日常互联网浏览网页时,我们接触到的大多都是 HTTP 协议,这种协议是未加密,即明文的。这使得 HTTP 协议在传输隐私数据时非常不安全。因此,浏览器鼻祖 Netscape 公司设计了 SSL(Secure Sockets Layer) 协议,用于对 HTTP 协议传输进行数据加密,即 HTTPSHTTPSHTTP 协议相比提供了:数据完整性:内容传输经过完整性校验数...
数字证书原理[转载]
weixin_30343157的博客
09-26 3431
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 ...
源头分析Https协议底层实现原理
weixin_45017862的博客
07-01 1280
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使...
无法获得用户定位信息的解决办法和建立HTTPS的方法
赵亮的博客专栏(theforever,碧海情天)
08-10 6681
无法获得用户定位信息的原因和解决方法。近期很多开发者提问这个问题:为什么以前可以获得用户定位信息的方法,现在不管用了。究其原因,是定位信息提供商(比如百度地图)不再支持在HTTP协议下返回这类敏感信息,而是要求必须在HTTPS协议下才会返回。本文讲解这一变化的背景原因,和如何转到HTTPS协议的具体步骤与相关选择细节。
curl库处理https消息慢问题定位
夜风西的博客
04-01 621
项目中使用curl与服务器进行https的通信,每次消息来回几乎都要超过200ms。这个时间太长,需要优化。 首先,就是定位问题出在哪儿。记录如下: 是服务器的问题吗? 用postMan和curl命令行,发送同样的消息到服务器,测试处理时间通常都在100ms以下,所以不是服务器的问题。 让curl输出更多信息 curl_easy_setopt(easyHandle, CURLOPT_VERBOSE, 2L); 哪一步花时间长? 通过curl_easy_getinfo接口,获取到每一步花费的时间。确认
老白的DBA日记:RAC系统挑战与优化实战
这本书不仅是DBA们学习和提升技能的宝贵资料,也是对数据库管理日常工作的深入洞察,有助于读者理解RAC集群的工作原理,提高故障处理和性能调优的能力。每个章节末尾的技术要点讲解,为读者提供了更深入的技术解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值