浏览器基础原理-安全: HTTPS

已于 2023-06-28 01:36:32 修改
阅读量839 收藏
点赞数 1
分类专栏: 浏览器基础原理 文章标签: 安全 https 网络协议
于 2023-06-28 01:33:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CaptainDrake/article/details/131428110
版权

HTTP协议的历史:

HTTP协议的目的很单纯, 就是为了传输超文本文件, 所以早期的 HTTP 一直保持着明文传输数据的特征, 但是中间很有可能会被截取或者篡改, 即收到中间人攻击.

解析HTTP协议栈层面:

HTTPS往里面加入了安全层, 它的指责是: 对发起HTTP请求的数据进行加密和对接收到HTTP的内容进行解密操作.
HTTP VS HTTPS
图-HTTP VS HTTPS

HTTPS协议:

第一版: 使用对称加密

对称加密: 指加密和解密都使用的是相同的密钥.

下图是使用对称加密改造的 HTTPS 协议:
在这里插入图片描述

图-非对称加密实现 HTTPS

使用过程:

建立安全连接: HTTPS协商加解密方式, 让服务器与客户端同时决定密钥.

1-浏览器发送加密套件和随机数client-random

2-服务器从加密套件中选取某个, 并生成随机数service-random, 然后返回二者

3-浏览器和服务器分别返回确认消息

这样浏览器端和服务器端都有相同的 client-random 和 service-random 了,然后它们再使用相同的方法将 client-random 和 service-random 混合起来生成一个密钥 master secret,有了密钥 master secret 和加密套件之后,双方就可以进行数据的加密传输了。

问题: 传输两个随机数的过程是明文, 意味着黑客可以拿到两个随机数与加密套件, 由于密钥算法是公开的, 所以黑客可以使用前面的资源合成密钥, 从而破解密码.

第二版: 使用非对称加密

非对称加密: 算法有两把密钥, A密钥用于加密, B则用于解密, 可以返用, A解密, B加密. 在HTTPS中, 服务器会将其中一个密钥通过明文的方式发送给浏览器, 这个密钥称为公钥, 服务器留下的称为私钥.因此, 公钥是公开的, 私钥是只有服务器知道的.

下图是使用非对称加密改造的 HTTPS 协议:
非对称加密实现 HTTPS
图-非对称加密实现 HTTPS

使用过程:

1-浏览器发送加密套件给服务器

2-服务器选择一个加密套件并形成私钥, 然后返回加密套件和公钥

3-浏览器和服务器互相返回确认消息

4-浏览器用公钥加密数据, 服务器端用来解密, 中间就算数据和公钥被截取, 黑客也无法解密

问题:

1-非对称加密效率过低, 影响加解密的速度, 从而影响用户打开页面的速度

2-服务器端数据安全无法保证, 因为如果服务器给浏览器发送数据, 服务器用的是私钥加密, 那数据只能用公钥解密, 而公钥在传输的过程中可以被截获, 会造成安全隐患.

第三版:对称加密和非对称加密搭配使用

综合使用对称和非对称加密算法:

传输阶段使用对称加密, 但是对称加密的密钥我们采用非对称加密来传输,

下图是改造后的版本:
混合加密实现 HTTPS
图-混合加密实现 HTTPS

使用过程:

1-浏览器向服务器发送对称加密套件、非对称加密套件和随机数 client-random

2-服务器保存随机数 client-random, 选择对称加密和非对称加密的套件, 然后生成随机数service-random, 向浏览器发送选择的加密套件、service-random和公钥

3-浏览器保存公钥, 并利用 clinet-random 和 service-random 计算出 pre-master, 然后利用公钥对 pre-master 加密, 并向服务器发送加密后的数据

4-服务器拿出自己的私钥, 解密出 pre-master 数据, 并返回确认消息.

需要特别注意的一点,pre-master 是经过公钥加密之后传输的,所以黑客无法获取到pre-master,这样黑客就无法生成密钥,也就保证了黑客无法破解传输过程中的数据了.

第四版:添加数字证书

通过对称和非对称混合方式,我们完美地实现了数据的加密传输。不过这种方式依然存在着问题,比如我要打开极客时间的官网,但是黑客通过 DNS 劫持将极客时间官网的 IP 地址替换成了黑客的 IP 地址,这样我访问的其实是黑客的服务器了,黑客就可以在自己的服务器上实现公钥和私钥,而对浏览器来说,它完全不知道现在访问的是个黑客的站点。

证明方式:

通过使用CA颁发的数字证书来证明自己的信息

证书作用:

一个是通过数字证书向浏览器证明服务器的身份,另一个是数字证书里面包含了服务器公钥。

含有数字证书的HTTPS的请求流程, 参考下图

完整的 HTTPS 请求流程
图-完整的 HTTPS 请求流程

相较于第三版的 HTTPS 协议,这里主要有两点改变:

  1. 服务器没有直接返回公钥给浏览器,而是返回了数字证书,而公钥正是包含在数字证书中的;

  2. 在浏览器端多了一个证书验证的操作,验证了证书之后,才继续后续流程。

通过引入数字证书,我们就实现了服务器的身份认证功能,这样即便黑客伪造了服务器,但是由于证书是没有办法伪造的,所以依然无法欺骗用户.

参考: 极客时间-浏览器工作原理与实践

CaptainDrake
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web-Shop-App:https
03-21
【描述分析】:描述中的“Web-Shop-App:https”再次确认了应用的核心是Web购物平台,并且该平台采用了HTTPS作为其通信基础。这可能意味着开发者或团队注重用户的在线安全,遵守现代互联网的安全标准。 【标签】:...
lab-03b-calculator:https
03-19
【标题】"lab-03b-calculator:https" 指的可能是一个关于构建HTTPS安全计算器的实验项目。HTTPS是一种安全的超文本传输协议,它通过使用SSL/TLS协议来加密数据,确保用户在浏览网页或进行敏感操作时的信息不被窃取或...
http/https/浏览器
qq_41916791的博客
03-23 5917
http/https浏览器 http/https (1)http是超文本传输协议,是互联网上应用最为广泛的一种网络协议. (2)https是以安全为目标的http通道,简单讲就是http的安全版 http/https的区别: (1)http传输的数据是未加密的,也就是明文 (2)https协议是由http和ssl协议构建的可进行加密传输和身份认证的网络协议,比http协议安全性更高 主要的区别: (1)http是超文本传输协议,信息是明文传输,链接很简单,是无状态的 (2)https
Kpoint:HTTP/HTTPS/浏览器
咕咕鸡的执着
06-12 1577
http与https、它们之间的区别 http: 超文本传输协议,是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 https: 是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加密的详细内容就需要SSL。https协议的主要作用是:建立一个信息安全通道,来确保数组的传输,确保网站的真实性。 htt
浏览器原理--HTTPS:让数据传输更安全
xuan的博客
06-08 1401
(1)起初设计 HTTP 协议的目的很单纯,就是为了传输超文本文件,那时候也没有太强的加密传输的数据需求,所以 HTTP 一直保持着明文传输数据的特征。(2)但这样的话,在传输过程中的每一个环节,数据都有可能被窃取或者篡改,这也意味着你和服务器之间还可能有个中间人,你们在通信过程中的一切内容都在中间人的掌握中:(1)从 HTTP 协议栈层面来看,我们可以在 TCP 和 HTTP 之间插入一个安全层,所有经过安全层的数据都会被加密或者解密。(2)安全层有两个主要的职责:对发起 HTTP 请求的数据进行加密操作
Https证书浏览器红色警告解决
zhangshaopeng的博客
12-13 1万+
浏览器中出现不安全红色警告 Google Chrome: Microsoft Edge: Internet Explorer 解决方案,将https证书导出,加入到本地游览器,此处以Google Chrome浏览器为例,Https证书必须是通过认证机构发布的 目录 1 导出证书(已有请忽略) 2 通过浏览器添加 3 通过window 10 控制台添加 4 通过双...
解决chrome下https无法打开方法
热门推荐
爱生活
11-11 9万+
使用chrome浏览器打开带https开头的网址时,有时无法打开。其实这是因为有的https没有经过验证,属于无牌证书,所以遭到了google拒绝。   现在只需要经过一些简单的设置,就可以强制chrome使用https的方式打开。   打开Chrome,在地址栏输入chrome://net-internals/   之后,在HSTS选项卡下的Domain中输入 ww
rent-a-bob:https
03-20
"Rent-a-Bob:HTTPS" 是一个与JavaScript相关的项目,可能是用于学习或实践HTTPS安全通信的工具或教程。HTTPS(Hypertext Transfer Protocol Secure)是一种网络通信协议,它结合了HTTP与SSL/TLS协议,目的是在互联网...
goit-markup-hw-08:https
03-28
在本项目"GoIT-Markup-HW-08...总的来说,"GoIT-Markup-HW-08:HTTPS"项目旨在强化HTML与HTTPS之间的联系,提醒开发者在创建网页时重视数据安全,确保用户隐私得到保护。理解和正确使用HTTPS是每个Web开发者的必备技能。
goit-markup-hw-02:https
03-10
1. **HTTPS 基本原理**:HTTPS 在 HTTP 协议的基础上增加了 SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议,用于加密通信,防止中间人攻击。HTTP 协议传输的数据是明文的,而 HTTPS 则对数据进行了...
浏览器是如何使你的http网址变成https
jyt11112的博客
05-26 1万+
1.问题 拿淘宝来说事。 在浏览器中通常人们输入淘宝的网址有taobao.com www.taobao.com http://www.taobao.com 而最终浏览器中的显示的网址是https://www.taobao.com,这是怎么实现的呢? 2.taobao.com -> www.taobao.com taobao.com 和www.taobao.com是不同的域名,淘宝会把相似
浏览器、HTTP、SSL、HTTPS执行流程
lulitianyu的专栏
01-27 3551
浏览器、HTTP、SSL、HTTPS执行流程 当在浏览器中输入URL后,页面加载完成的过程中都发生了什么事情 1、解析URL 判断URL是否是合法的URL,如果URL不合法,则调用默认的搜索引擎,直接把输入的内容作为要搜索的内容进行搜索,如果URL合法,则继续下一步。 检查这些请求是HTTPS还是HTTP,如果是HTTPS的话则使用HTTPS协议进行访问,否则使用HTTP协议发送。有些情况下,第
浏览器HTTPS访问问题
点点滴滴
05-06 1万+
1、问题描述 搭建了HTTPS服务环境 https://172.16.0.17 ,用浏览器访问时,出现提示信息: “您的连接不是私密连接”(Chrome),如下图所示 “您的链接并不安全”(Firefox),如下图所示 2、解决方法 2.1 Chrome浏览器的解决方法 点击【高级】按钮后,可以看到问题的详细信息,如下图所示 在chrome的地址栏里输入 chrome://net...
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 307
亚信安全发布2024年6月威胁态势
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
最新发布
olzorange的博客
07-08 132
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1138
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 608
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 875
然后这一步,你看,这里有个决策点
JAVA-JSP技术文档
04-25
JAVA-JSP技术文档,主要包含JSP的运行原理、基本语法、数据范围等

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值