HTTPS原理解析—层层深入,刨根问底(1)

于 2024-07-04 20:19:59 发布
阅读量274 收藏 10
点赞数 5
分类专栏: 资料搜公宗号 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85392034/article/details/140188848
版权

HTTPS 的实现原理

大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密,而加密过程是使用了非对称加密实现。但其实,HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。

HTTPS的整体过程分为证书验证和数据传输阶段,具体的交互过程如下:

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

** ① 证书验证阶段**

  1. 浏览器发起 HTTPS 请求
  2. 服务端返回 HTTPS 证书
  3. 客户端验证证书是否合法,如果不合法则提示告警

** ② 数据传输阶段**

  1. 当证书验证合法后,在本地生成随机数
  2. 通过公钥加密随机数,并把加密后的随机数传输到服务端
  3. 服务端通过私钥对随机数进行解密
  4. 服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输

为什么数据传输是用对称加密?

首先,非对称加密的加解密效率是非常低的,而 http 的应用场景中通常端与端之间存在大量的交互,非对称加密的效率是无法接受的;

另外,在 HTTPS 的场景中只有服务端保存了私钥,一对公私钥只能实现单向的加解密,所以 HTTPS 中内容传输加密采取的是对称加密,而不是非对称加密。

为什么需要 CA 认证机构颁发证书?

HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器,而 HTTPS 协议主要解决的便是网络传输的安全性问题。

首先我们假设不存在认证机构,任何人都可以制作证书,这带来的安全风险便是经典的**“中间人攻击”**问题。
“中间人攻击”的具体过程如下:

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

过程原理:

  1. 本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器
  2. 中间人服务器返回中间人自己的证书
  3. 客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输
  4. 中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密
  5. 中间人以客户端的请求内容再向正规网站发起请求
  6. 因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据
  7. 中间人凭借与正规网站建立的对称加密算法对内容进行解密
  8. 中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输
  9. 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

浏览器是如何确保 CA 证书的合法性?

1. 证书包含什么信息?
  • 颁发机构信息
  • 公钥
  • 公司信息
  • 域名
  • 有效期
  • 指纹
2. 证书的合法性依据是什么?

首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

3. 浏览器如何验证证书的合法性?

浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书,浏览器需要对证书做以下验证:

  1. 验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证;

  2. 判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  1. 判断证书是否被篡改。需要与 CA 服务器进行校验;

  2. 判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第3步中以减少与 CA 服务器的交互,提高验证效率

以上任意一步都满足的情况下浏览器才认为证书是合法的。

这里插一个我想了很久的但其实答案很简单的问题:
既然证书是公开的,如果要发起中间人攻击,我在官网上下载一份证书作为我的服务器证书,那客户端肯定会认同这个证书是合法的,如何避免这种证书冒用的情况?
其实这就是非加密对称中公私钥的用处,虽然中间人可以得到证书,但私钥是无法获取的,一份公钥是不可能推算出其对应的私钥,中间人即使拿到证书也无法伪装成合法服务端,因为无法对客户端传入的加密数据进行解密。

4. 只有认证机构可以生成证书吗?

最后

我坚信,坚持学习,每天进步一点,滴水穿石,我们离成功都很近!
以下是总结出来的字节经典面试题目,包含:计算机网络,Kotlin,数据结构与算法,Framework源码,微信小程序,NDK音视频开发,计算机网络等。

字节高级Android经典面试题和答案


典面试题和答案**

[外链图片转存中…(img-BgHcoZMc-1720095586804)]
[外链图片转存中…(img-XdRzLbJ3-1720095586805)]

2401_85392034
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# 的 Newtonsoft.Json 库高级进阶:刨根问底的深度解析
java专栏
09-03 705
Newtonsoft.Json 支持自定义转换器,这使得我们可以定义自己的序列化和反序列化逻辑。比如,我们可以定义一个转换器来处理日期时间格式。// 🕒 解析 JSON 字符串中的日期时间 return DateTime . Parse((string) reader . Value);// 📋 格式化日期时间为特定格式 writer . WriteValue(value . ToString("yyyy-MM-dd HH:mm:ss"));
C# 的 Masuit.Tools 库高级进阶:刨根问底的深度解析
最新发布
java专栏
08-26 533
通过今天的探索,我们了解了 Masuit.Tools 的一些高级功能,包括如何进行字符串操作、文件处理、日期时间操作等。希望这篇深入浅出的文章能帮助你在实际项目中更好地运用 Masuit.Tools!🎈好了,小伙伴们,今天的分享就到这里啦!如果你有任何疑问或者想要分享自己的经验,请在评论区留言。我们下次再见!👋上述示例代码仅供参考,实际使用时请根据项目需求进行适当调整。✨Masuit.Tools GitHub 仓库Masuit.Tools 文档使用Reverse方法来反转字符串。利用。
HTTPS server 源码
04-20
HTTP server的源代码,集成了HTTP server和SSL server,方便移植和学习之用。好东西哦
Java https 源码
weixin_33842328的博客
05-24 207
1 /** 2 * 3 */ 4 import java.io.*; 5 import java.net.*; 6 import java.security.*; 7 import java.security.cert.*; 8 import java.util.*; 9 import javax.net.ssl.*; 10 /** 11 * @author Adm...
看了很多HTTPS原理,你真的弄懂了吗?
SSL加密技术
01-08 504
HTTPS的底层原理如何实现?为什么需要CA认证机构颁发证书?浏览器是如何确保CA证书的合法性?可能大多数人都知道HTTPSHTTP安全,也听说过与HTTPS协议相关的概念有SSL协议、非对称加密、 CA证书等,但是面对以上问题你能清晰的回答上来吗?本文将带你层层深入,从原理上为你把HTTPS的安全性讲透。 HTTPS的底层原理如何实现? 可能都听说过HTTPS协议之所以是安全的是因为HTT...
HTTP源码
04-13
c++HTTP源码,http post 简单实现
OkHttp源码分析
wuliangAndroid
10-25 330
跳转链接:仿Okhttp源码
向爬虫而生---Redis 探究篇5<Redis集群刨根问底(1)>
晦涩难董先生
03-05 1070
Redis集群通过主从复制、哈希槽分片和故障转移等机制,提供了高可用性、容错性和水平扩展能力。它是一种可靠且强大的分布式数据库解决方案,适用于各种大规模、高并发的应用场景。部署和配置Redis集群需要注意节点数量、类型、网络设置、持久化和资源管理等关键配置参数和注意事项。合理的配置能够提供高效的数据存储和访问,并确保集群的稳定性和可靠性。未完待续。
带你读懂《深入理解计算机系统》开篇
十年互联网开发老兵,陪你一起学技术
12-27 7331
我的计划是2020年用一整年的时间带你读一本书。 有人说一年才读一本书是不是太少了。在我看来一年完整读完一本书的已经超过63%的成年人了(中国综合社会调查(CGSS)一项数据显示,在过去的一年里,我国年满18岁的成年人中有63%的人,一本书也没读过(包括纸本书和电子书)),要是专业书籍来说,读完一本书的人就更少了。而且这是一本内容如此丰富的书。很多人整天“速读,跳读,扫读”,以为自己多么有效率,其实不然,精度一本好书,远远超过十本速读书,这个在计算机专业书籍更是如此。
为什么要学习C++软件调试技术?掌握调试技术都有哪些好处?
热门推荐
dvlinker的技术专栏
05-24 5万+
本文详细讲解为什么要学习C++软件调试技术,以及掌握调试技术都有哪些好处。
LinuxC https请求 源码 一个函数搞定
03-21
一个函数搞定 直接调用 用法如下: int main() { char rsp_buf[2048]={0}; //只发请求 不需要等待回复 https_get_request("ipx.xxx.xxx.xx",NULL,80,"xxxx/xxx.req?aa=21"); //替换成自己需要的HTTP请求 //发请求 不需要等待回复 https_get_request_wait_rsp("ipx.xxx.xxx.xx",NULL,80,"xxxx/xxx.req?aa=21",rsp_buf,sizeof(rsp_buf)); //用域名 https_get_request_wait_rsp(NULL,"www.baidu.com",8080,"xxxx/xxx.req?aa=21",rsp_buf,sizeof(rsp_buf)); https_get_request(NULL,"www.baidu.com",8080,"xxxx/xxx.req?aa=21"); printf("=============>\n"); return 0; }
申请SSL证书 让网页使用HTTPS 源码+说明
02-16
申请SSL证书以及让网页使用HTTPS 申请SSL证书以及让网页使用HTTPS
linux下C语言实现https请求源码
10-31
利用OpenSSL库实现https get请求,在ubuntu16.04下验证通过.文档中包含源文件,Makefile文件.
SSL加密https通信源码
02-19
访问Https通信协议做的网站的时候,建立的socket套接字需要SSL协议认证 ,加密之后,才可以和网站建立资源
HttpScan源码
03-12
HttpScan商业化前,最后发布的源码。是delphi中比较完善的蜘蛛控件
httphttps原理分析
kylin
03-31 345
httphttps 原理分析 1、httphttps的区别 在原有 http和tcp中间建立了一个ssl/tls 2、https原理 分成2块, 一块是准备工作:服务器生成公私钥,CA机构生成CA证书,客户端获取CA证书 一块是建立连接:主要是处理CA证书的合法性,最后生成一个随机对称密钥,然后基于此进行通信 扩展:http/.0默认使用短连接。http/1.1默认使用长连接...
HTTPSHandler & SSL Error
qq_36098284的博客
02-13 581
我在服务器ubuntu中,尝试使用pip3,但是出现下面的报错通过查询资料,发现报错的原因是,该pip3.5中没有安装好openssl. 我尝试在python3.5中使用import ssl, 确实是会显示下面的报错信息然后我尝试安装SSL module,我之前在本地是安装过,应该还是比较容易,但是在服务器中却是各种方法都不有效。
HTTPS/SSL证书自签源码
php源码
03-13 287
介绍: 这是一款二次元风格向的SSL证书自签工具源码,可随时随地签发SSL证书 运行环境: 你的 PHP 必须 gt;=5.6,且安装了 OpenSSL 扩展 所有文件都已本地化,大部分PHP默认开启OpenSSL 安装: 下载源码导入网站目录访问即可。 网盘下载地址: https://zijiewangpan.com/MqBVgSfn55E 图片: ...
https客户端和代理服务器源码
03-07
https客户端和代理服务器源码,TLS加密协议使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值