https的证书机制

已于 2022-09-12 10:43:03 修改
阅读量427 收藏 1
点赞数
分类专栏: web 文章标签: https 网络 http ca证书
于 2022-07-14 17:28:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_40120883/article/details/125788709
版权

参考:(1)HTTPS的加密方式超详细解读_渔火愁眠__CSDN (2)通俗易懂的带你了解HTTPS的原理_IT烂笔头_CSDN(3)网站向CA申请的数字安全证书可能被盗用吗?(4)rsa公钥和私钥到底哪个才是用来加密,哪个用来解密?

1、对称加密

1.1、定义
需要对加密和解密使用相同密钥的加密算法。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。

1.2、密钥形式
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。

1.3、优缺点
优点:对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。 缺点:对称加密,密钥管理的安全性很低,因为加密和解密都使用同一个密钥,在密钥的发送过程中,密钥可能被第三方截取,导致第三方也可以破解密文。

1.4、 http通信中的使用及存在的问题
在每次发送真实数据之前,客户端先生成一把密钥,然后先把密钥传输给服务端。之后客户端给服务端发送真实数据的时候,会用这把密钥对数据进行加密,服务端收到加密数据之后,用刚才收到的密钥进行解密。
问题:中间人攻击如下图所示
在这里插入图片描述

2、非对称加密

2.1、定义
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

2.2、密钥形式
公钥与私钥是一对。传输双方均有自己的一对密钥(也就是双方每方均有:公、私密钥一把,双方加起来共4把)

例子:传输双方比如是甲乙双方,甲方有配对的公、私密钥一对,且公钥负责加密,私钥负责解对应的公钥加的密。乙方同理。

2.3、优缺点
非对称密钥的算法强度复杂(是优点也是缺点),安全性依赖于算法与密钥。 优点:安全性较高,比对称密钥安全性高很多。 非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要。 缺点:由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。

2.4、http通信中的使用及存在的问题
1.客户端要向服务器发送信息,客户端和服务器都要产生一对用于加密和解密的公钥和私钥。
2.客户端的私钥保密,客户端的公钥告诉服务器;服务器的私钥保密,服务器的公钥告诉客户端。
3.客户端要给服务器发送信息时,客户端用服务器的公钥加密信息,因为服务器的公钥是公开的,客户端可以得到。
4.客户端将这个消息发给服务器(已经用服务器的公钥加密消息)。
5.服务器收到这个消息后,服务器用自己的私钥解密客户端的消息。其他所有收到这个报文的人都无法解密,因为只有服务器才有服务器的私钥。
问题:由于其算法复杂,而使得加密解密速度较慢
在这里插入图片描述

注意:公钥和私钥都可用于加密和解密
公钥和私钥都可以用于加解密操作,用公钥加密的数据只能由对应的私钥解密,反之亦然。虽说两者都可用于加密,但是不同场景使用不同的密钥来加密,规则如下:
1、私钥用于签名、公钥用于验签签名和加密作用不同,签名并不是为了保密,而是为了保证这个签名是由特定的某个人签名的,而不是被其它人伪造的签名,所以私钥的私有性就适合用在签名用途上。私钥签名后,只能由对应的公钥解密,公钥又是公开的(很多人可持有,但私钥只有创建者有,这就可以用于判断是不是私钥持有者加密的数据),所以这些人拿着公钥来解密,解密成功后就能判断出是持有私钥的人做的签名,验证了身份合法性。
2、公钥用于加密、私钥用于解密,这才能起到加密作用因为公钥是公开的,很多人可以持有公钥。若用私钥加密,那所有持有公钥的人都可以进行解密,这是不安全的!若用公钥加密,那只能由私钥解密,而私钥是私有不公开的,只能由特定的私钥持有人解密,保证的数据的安全性。

3、对称加密与非对称加密的混合加密方法和存在的问题

黑色字迹:加密及传输过程
橙色字迹:安全问题
请添加图片描述

4、结合证书机制的非对称加密

请添加图片描述
注意:关于证书的验证,即客户端如何知道证书有效?
首先网站会想CA机构申请证书,CA机构有了网站信息;CA将网站信息通过hash散列得到hashcode,将hashcode使用CA机构的私钥加密(即所谓的签名)后与网站信息放在一起,构成了CA证书;用于非对称加密的公钥也是放在证书中。
因为私钥的私有的,并不会在互联网传播,所以无人能够伪造;又因为私钥对应的公钥有很多,所以公钥持有者可以通过解密被私钥加密的数据(这里是hashcode),判断数据是不是属于私钥持有者,也就是CA机构,从而知道证书的真伪。

5、思考

既然中间人可以截取密钥(3中),那么为什么不能截取证书呢?(中间人可以修改其中的公钥,在发给客户端)
答案是可以截取到证书,但截取到证书后还需要修改其中的公钥。但是如果A、B互发的公钥是带有签名,且验签所用的证书是CA颁发、可公开查询的,那么这种改变公钥的中间人攻击不被发现的可能性很小。

另外,如果没有别的附加手段,比如时间戳等保证会话匹配(matching conversation)的技术,单独的签名也防不住中间人的重放攻击。

风和树里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文读懂TSL/SSL证书体系与及https的工作原理
微生活Pro
05-06 2295
https是用了ssl校验请求合法性的http服务。也就是说一个https的服务必然会配置一个证书,首先介绍一下https的工作过程,再详细讲述SSL或者说是TSL的工作原理 https工作过程 1、客户端发起https请求 2、服务端收到请求后,将自己服务端配置的证书(下面详解证书颁发过程,例如*.crt文件)发送给客户端(一般为浏览器),这个数字证书不但包含了用于非对称加密的公钥,还包含公钥算法、证书的颁发机构及过期时间等信息 3、客户端接收到数字证书后,解析验证服务器的合法性,主要包括:证书是否过期,
https证书制作
w2865673691的专栏
09-21 3251
C:\Program Files\Java\jdk1.7.0_75\bin> keytool -v -genkey -alias tomcat -keyalg RSA -keystore f:/zhengshu/wpzhengshu.keystore  -validity 36500 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么?   [Unknown]:  192.
网络安全】https证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 7918
SSL Pinning | https协议与证书原理
HTTPS证书原理
最新发布
wenwen9961的博客
05-08 1144
然后,再产生一个称作 pre_master_secret 的随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加 / 解密),并将加密后的信息发送给服务器;由于传统的http协议是以明文方式传送的,很容易被中间者窃取隐私信息,所以HTTPS证书对数据进行了加密,第三方是无法对其窃取、监听和篡改的,可以保证信息的安全。4.目前通用的浏览器对使用HTTPS协议的网站提升了优化排名,使用HTTPS协议的网站在搜索结果中的排名会更高。① 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。
谈谈https证书
雨中深巷的油纸伞
03-28 2746
Transport Layer Security,同样是为了保证数据安全的加密协议层,是SSL的增强版,SSL有1.0,2.0,3.0版本,TLS目前1.0,1.1,1.2,1.3,TLS的1.0版本就是SSL的3.0。:相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现,个人理解openssl是作为针对SSL/TLS的一个工具,包括对证书的解析,个人颁发,证书编码转化等。tls握手阶段,会根据随机值等协商一个对称加密的密钥,后面的通信都是使用这个密钥来加密。
https简介
幻神舞的专栏
03-18 1856
文章目录说明分享详情https加密文件主流证书密钥库文件证书文件证书转换https认证方式单向认证双向认证参考资料总结 2022-03-18 说明 本博客每周五更新一次。 https是在原有http基础上增加ssl实现通信加密和用户身份认证,http协议数据明文传送,可以被网络工具拦截直接阅读,https是以密文形式传递,没有证书和算法,无法解密数据内容。 由于https通信过程中需要加密和解密,其效率低于http协议。 分享 大数据博客列表 开发记录汇总 详情 https加密文件 https认证
https安全认证的证书文件 ssl.zip
04-01
下面将详细介绍HTTPS证书的工作原理、类型、验证过程以及如何管理和安装。 1. **HTTPS和SSL证书的定义** HTTPSHTTP(超文本传输协议)与SSL/TLS的结合,用于在客户端和服务器之间建立安全的通信通道。SSL证书则...
解决https证书问题.zip
02-20
总之,处理HTTPS证书问题需要理解证书的工作机制,检查和修正证书配置,以及确保服务器的安全设置。通过学习和实践,不仅能解决当前问题,还能提升对网络安全的理解,保护用户的隐私和数据安全。
Android okhttp3.0忽略https证书的方法
01-20
然而,在某些场景下,比如测试环境或自签名证书的服务器,可能需要忽略HTTPS证书的验证,以便应用程序能够顺利连接。本篇文章主要讲解如何在使用OkHttp 3.0时忽略HTTPS证书。 首先,我们需要了解HTTPS证书的基本...
java实现读取证书访问https接口
11-12
在Java编程中,访问HTTPS接口通常涉及到网络通信和安全证书的处理。HTTPS协议是HTTP(超文本传输协议)与SSL/TLS(安全套接层/传输层...总的来说,理解证书格式和Java的SSL/TLS机制对于安全地访问HTTPS接口至关重要。
配置HTTPS证书校验1
08-08
当遇到"配置HTTPS证书校验1"的问题时,通常是因为客户端(如浏览器或应用)无法正确验证服务器的证书,导致通信受阻。 在这个问题中,我们首先需要获取Manager的公钥。这可以通过浏览器证书查看功能来完成。当你...
HTTPS的加密原理(工作机制)
Angel_Tears_的博客
03-13 2971
对称加密, 非对称加密, CA证书, 数字签证,https加密机制http协议与https协议的区别, https的安全性,http为什么不安全, 数字证数是一种权威性的电子文档,它提供了一种在Internet上验证身份的方式;其作用类似于司机的驾驶证或日常生活中的凭证;它是由一个权威机构--CA证数授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。
HTTPS的理解(证书、认证方式、TLS握手)
迷雾总会解
09-12 5631
HTTP 存在的问题没有加密,无法保证通信内容不被窃听。没有报文完整性验证,无法确保通信内容在传输中不被改变。没有身份鉴别,无法让通信双方确认对方身份。HTTP over SSL,在 HTTP 传输上增加了传输层安全性(TLS)或安全套接字层(SSL),通过信息加密、数据完整性校验、身份鉴别为 HTTP 事务提供安全保证。SSL 会对数据进行加密并把加密数据送往 TCP 套接字,在接收方,SSL 读取 TCP 套接字的数据并解密,把数据交给应用层。
openssl与证书机制
上官栋
04-16 876
1. openssl加密功能 openssl 是一个密码工具集,可以完成对称加密,非对称加密,生成摘要,解密。并且包含多种密码算法。 1.1 对称加密 enc表示执行加密功能,-e是加密,-d是解密。-aes128是加密算法,除此之外还有-dec3/-cast/-blowfish。-in与-out分别是输入输出文件,在不同功能下含义不同。 openssl enc -e -aes128 -in $FileName -out $EncryptFile openssl enc -d -aes128 -in $En
https原理和数字证书
Hell_potato777的博客
09-05 4115
简单说就是有一个密钥,它可以加密一段信息,也可以对加密后的信息进行解密,和我们日常生活中用的钥匙作用差不多。对称加密(https://sectigostore.com/blog/types-of-encryption-what-to-know-about-symmetric-vs-asymmetric-encryption/)用对称加密可行吗?如果通信双方都各自持有同一个密钥,且没有别人知道,这两方的通信安全当然是可以被保证的(除非密钥被破解)。
https证书原理是什么
蔚可云的博客
10-13 2072
有多少人对于https是不是特别的茫然呢,实际上这个就是安全证书,安全证书对于我们网络来说是必不可少的一个证件,所以说大家一定要重视起来,多多学习这方面的知识,那么今天小编给大家讲一下https证书原理是什么? 一、https证书原理 现在给大家说一下https证书原理,https在传输出去之前就需要和客户端有。呃。握手,在握手的过程中将确立双方加密传输数据的密钥信息。就是保持这个信息的安全性。浏览器将自己支持的一套加密规则发送给网站之后,网站就会选出一种加密算法。与hash算法,将自己的身份信息和证书
CA证书机制
Hanyinh的博客
01-17 886
参考:ca 证书机制 案例 很多人都听过 CA 证书,其实我们每天都在使用它,即使你不知道。下面通俗的解释一下 CA 证书是什么。 假设你 A 公司的一名技术人员,要去 B 公司拜访,但是 B 公司的人都不认识你,怎么办? 常见的做法是,A 公司给你开张介绍信:“xxx公司委派技术员xxx前往贵公司办理业务,请予以方便。”然后在介绍信上盖上公章。 你来到 B 公司,给前台递上介绍信,B 公司相信你不是坏人,给你相应的配合(权限)。 这里有两个问题先思考,留待后面解决: 1、人是假的,介绍信是真的? 2、人是
摘要、签名、加密、证书的基本原理和理解
李云龙的意大利面
11-14 2411
加解密,摘要,信息可靠传输
HTTPS证书原理
热门推荐
笨狐狸
10-15 1万+
安全的原理其实非常多,基础的诸如数字签名,加密解密等等,这边不会细讲,会略微提一下。主要讲讲常见的web相关的安全原理,比如HTTPS证书,双向证书等。   关于对称加密和非对称加密:对称加密算法比非对称加密要快,但是对称加密要求密钥对等,这会带来几个问题:一是密钥传输过程中容易被截获,从而导致加密的无效;二是在一个n节点的传输网络中,某节点需要保存n-1个密钥,非常繁琐。非对称加密则不存在这
Ubuntu15+OpenSSL:数字证书HTTPS安全实践
HTTPSHTTP协议的安全版本,它结合了SSL/TLS协议,使用了上述的加密和数字证书机制,确保网络通信的隐私和完整性。在Tomcat7这样的Web服务器中配置HTTPS,可以提升服务器的安全等级,保护用户数据不被窃取或篡改。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值