网络-https协议学习笔记（SSL、TLS、CA、抓包与修改）w

本文链接：https://blog.csdn.net/2401_84520377/article/details/138858520

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

在这里插入图片描述

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

（1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。

（2）数据完整性：及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。

（3）身份校验安全性：保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。

http的优缺点

使用明文传输，容易被中间人攻击。消息完整性检测不足（仅在头部包含了本次传输数据的长度，内容未验证）。有关HTTP协议内容可查看文章网络-http协议学习笔记（消息结构、请求方法、状态码等）

https的优缺点

缺点

相同网络环境下，HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电。此外，HTTPS 协议还会影响缓存，增加数据开销和功耗。
HTTPS 协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
最关键的是，SSL 证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。
成本增加。部署 HTTPS 后，因为 HTTPS 协议的工作要增加额外的计算资源消耗，例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。在大规模用户访问应用的场景下，服务器需要频繁地做加密和解密操作，几乎每一个字节都需要做加解密，这就产生了服务器成本。

优点

使用 HTTPS 协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。
HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，要比 HTTP 协议安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。
HTTPS 是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

SSL

SSL（Secure Socket Layer，安全套接字层)，用来保障在网络上数据传输的安全，利用数据加密技术，可确保数据在网络上的传输过程中不会被截取，当前版本为3.0。

自从出了POODLE漏洞之后，SSL3.0已经直接定性成不安全的协议版本了。pdf下载链接如下，共4页，可以看一下，漏洞编号为CVE-2014-3566。

《This POODLE Bites: Exploiting The SSL 3.0 Fallback》

TLS

TLS(Transport Layer Security，安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。最新版本为TLS1.3(2018)。

HTTPS过程

四次握手：

Client Hello：当客户端连接到支持TLS协议的服务器时，要求创建安全连接并给出受支持的密码组合（支持的协议版本、加密密码算法和加密哈希函数、随机数1（Client random）），握手开始。
Server Hello、Certificate、ServerkeyExchange、Server Hello Done：服务器从列表中选择加密方法，随机数2（Client random），连同数字证书，此证书通常包含服务器的名称、受信任的证书颁发机构（CA）和服务器的公钥，发给客户端。
Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message：客户端确认其颁发的证书的有效性，使用服务器的公钥加密随机数3（Premaster secret）生成的密钥，并将其发送到服务器
服务器使用自己的私钥解密密钥，获得随机数3（Premaster secret）。

利用前面的3个随机数，双方生成用于加密和解密的对称/会话密钥（session key）。

这就是TLS协议的握手，握手完毕后的连接是安全的，直到连接（被）关闭。如果上述任何一个步骤失败，TLS握手过程就会失败，并且断开所有的连接。

浏览器和youtube之间

CA

CA（Certificate Authority，证书的签发机构）是PKI（Public Key Infrastructure，公钥基础设施）的核心，是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书（内含公钥和私钥），网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

Web服务器和证书颁发机构之间

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

HTTPS真的安全吗???

哪些CA的公钥可以被认可这件事情，是由操作系统为你做的，操作系统在安装的时候会内置可信CA的列表。

Windows系统，Win+R，输入certmgr.msc，可查看系统自带证书。

系统自带证书

浏览器证书

以csdn为例

点击小锁，点击安全连接

点击更多信息

点击查看证书

证书信息内容

在网络安全专栏中有关于xss攻击和csrf攻击的文章，XSS利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任，信任链必然有一个根结点，如果什么都不信任，也就没办法通信，而HTTPS则是信任CA、操作系统、浏览器，所以，下载正版的操作系统、浏览器可以相对安全（为什么说相对呢？谁知道Windows会不会摆你一道，比如，斯诺登事件）。