0.3、计算机网络-HTTP Over TLS(HTTPS)

最新推荐文章于 2022-02-13 15:39:21 发布
最新推荐文章于 2022-02-13 15:39:21 发布
阅读量747 收藏
点赞数
分类专栏: 计算机网络 文章标签: HTTPS HTTP Over Tls
如果我们不尊重权威,源码看起来也没有什么借鉴意义,如果我们完全的信服权威,那么源码中未发现的bug就天然的被忽略了
本文链接:https://blog.csdn.net/bestcxx/article/details/90764635
版权

文章目录

前言

体能状态先于精神状态,习惯先于决心,聚焦先于喜好.

rfc2818

官方文档地址 https://www.rfc-editor.org/rfc/pdfrfc/rfc2818.txt.pdf

https:

当前的实践是,通过TLS层传输HTTP层.
使用不同的端口提供安全服务,https协议使用 443 端口.
在历史的实践中,SSL协议规定使用特殊的命名空间可以区分HTTP或者HTTPS,比如
HTTP使用80端口,https使用443端口,类似的,snews和ftps采取了类似的策略.
传统来说,服务端返回 2XX 返回码表示连接已经被建立.
3xx表示重定向

HTTP Over TLS 的细节
客户端的行为:

Connection Initiation
·作为HTTP的客户端也必须作为 TLS的客户端,当客户端完成TLS的握手之后,
将使用TLS的 “application data” 进行第一个 HTTP 请求

Connection Closure
·关闭一个 HTTP 连接前,TLS必须发起一个closure alerts

客户端必须把提前到来的关闭信息认定为错误信息,因为该信息可能来自虚假身份的攻击者.
客户端发现一个未完毕的结束时,需要优雅的恢复正常.
客户端应该发送一个 closure alert 在关闭连接之前,当然,客户端有可能在未收到服务端的关闭消息前简单的关闭连接.

服务端的行为

RFC 2616 允许客户端在任意时间关闭连接,这要求服务端可以优雅的恢复服务.特别的,服务端需要准备接受来自客户端的不完整的关闭消息,因为经常是客户端决定服务数据什么时候结束.这种场景下,服务端更倾向于从新开始一个TLS session.

端口号

HTTP 服务端期望收到客户端的第一个请求是 Request-Line production.
TLS 服务端期望收到的第一条消息是 ClientHello.
所以,一般的时间使用了分开的端口以便于区分 HTTP/TLS 协议.
当 HTTP/TLS 协议被用于一个 TCP/IP 连接的时候,默认的端口号是 443.
HTTP/TLS 并未阻止使用另一个端口号.TLS 只是假设一个可依赖的原生连接的数据流.

URI 格式

HTTP/TLS 不同于 HTTP URIs,前者使用 ‘https’,后者使用‘http’

Endpoint Identification 端点定义

hostname:域名

Server Identity 服务端身份

总体来说,HTTP/TLS 请求被通过一个 URI 生成.结果,服务端的 hostname 被客户端知道.如果hostname可被访问,服务端必须检查他是否满足服务端证书信息中的定义,这样做是为了防止中间人攻击.

当然,如果客户端有其他方式去认证服务端的身份,hostname 检查这步可以被省略.这种情况下,为了防止中间人攻击,应该尽可能的限制证书的可用范围.特殊情况下,或许让客户端简单的忽略服务端的身份认证是合适的,但是必须注意到这样做会将连接对主动攻击.

如果 DNS 名称的扩展主题名称被使用,同样需要被验证.否则,应该使用证书中主题中最常用的名字.尽管使用普通的名字存在管理,这种方式依旧被强烈反对,应该使用DNSNAME去进行证书认证,这是被鼓励的.

存在对应的匹配规则,如果证书提供了不知一个类型(不只一个 dNSNAME,符合条件的都应该是可以被接受的).名字中可能存在通配符 *.比如 .a.com 包含 foo.a.com 但是不包含 bar.foo.a.com .再比如f.com 包含 foo.com 但是不包含bar.com.

某些情况下,URI使用的是 IP地址,而不是 hostname(域名),这种情况下,ip地址 subjectAltName 必须被包含在证书中,并且精确的匹配URI中的IP.

如果 hostname 不匹配证书中的定义,面向用户的客户端必须警告用户(用户可以选择继续浏览或者放弃)或者使用一个证书错误暂停连接.自动化的客户端必须对错误进行日志记录,以便于后期检查,并且,还需要暂停连接(以证书错误作为原因).
自动化的客户端可能会提供一个配置用以免去证书检查,但是必须提供一个允许这种配置的场景.

需要注意的是,很多时候URI本身就来自于不被信任的来源.上面的描述并不能对来源不符合标准的URI提供免受攻击的保护.
比如,URI是被通过点击 HTML 页面获得的,而这个HTML页面并没有使用HTTP/TLS,这个时候就可能被中间人更换URI.
为了避免这种攻击,用户需要细心检查服务端提供的证书,以确定该证书满足他们的预期.

Client Identity 客户端身份

一般来说,服务端并不知道客户端的身份应该被检测,所以服务端对客户端的检测是不可能的.如果服务端通过某种渠道知道客户端需要被检测(比如通过 HTTP或者TLS),其过程和客户单检查服务端一致.

TLS 的握手协议和 TCP/IP的三次握手的关系

敲黑板,从网络分层来说,它俩就不是一个层的,TCP/IP 协议簇位于TLS协议下游,这意味着,TLS 握手协议会引起 TCP/IP 的三次握手来建立连接

https 的风险
中间人攻击

证书是危险当证书,中间人在中间模拟客户端和服务端当交互,所有的信息都泄漏了,使用安全的证书.

OpenSSL 心脏出血 漏洞

OpenSSL 相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现。接口规范本身是安全没问题的,但是具体实现可能会有不完善的地方,比如之前的"心脏出血"漏洞,就是OpenSSL中的一个bug.
OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
OpenSSL已经对这一漏洞进行了修补,OpenSSL默认禁用了SSLv2协议,并移除了SSLv2协议的EXPORT系列加密算法。OpenSSL强烈建议,用户停止使用SSLv2协议。

  • OpenSSL心脏出血漏洞受影响版本
    OpenSSL 1.0.2-beta
    OpenSSL 1.0.1 - OpenSSL 1.0.1f
  • 不受影响版本:
    OpenSSL 1.0.1g is NOT vulnerable
    OpenSSL 1.0.0 branch is NOT vulnerable
    OpenSSL 0.9.8 branch is NOT vulnerable
参考链接

[1]、https://www.rfc-editor.org/rfc/pdfrfc/rfc2818.txt.pdf

bestcxx
关注
专栏目录
基于深度学习的入侵检测系统设计与实现
程序员光剑
08-06 1229
基于深度学习的入侵检测系统在提高检测精度和效率方面展现出了巨大的潜力,然而,它仍然面临着一些挑战,例如数据标准化、模型解释性、攻击的多样性等。未来,我们需要在这些方面进行更深入的研究,并开发出更强大的入侵检测系统。
AI创业者的挑战:技术,应用与场景的平衡
最新发布
程序员光剑
09-11 898
1. AI算法模型的优化与优化目标 题目: AI算法模型的优化通常涉及哪些方面?请简述常见的优化目标和策略。 答案: AI算法模型的优化主要涉及以下几个方面: 计算效率: 提高算法的运行速度
008-httpd_http over ssl(https)
husa的博客
01-16 1172
008-httpd_http over ssl(https) 008-httpd_http over sslhttps https http over ssl 图解 配置httpd支持https 测试 https, http over ssl图解 出处见脚注SSL会话的简化过程 (1) 客户端发送可供选择的加密方式,并向服务器请求证书; (2) 服务器端发送证书以及选定的加
HTTPS之SSL/TLS协议分析
问心
04-21 1727
一、简介   HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,也可以讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。其实是表示目前连接使用了SSL进行加密,把保证客户端到服务器端的通信保护起来。      采用https的服务器
HTTP Over TLS 简介
zhangke1985的专栏
09-06 4561
Table Of Contents 1. HTTPS是什么? 2. TLS协议简介 3. TLS握手流程 3.1 客户端请求建立连接 3.2 服务器确定加密套件 3.3 服务器发送证书 3.4 双方完成身份认证 3.5 生成密钥 3.6 通知开始加密传输 3.7 确保密钥可用 4. 加密套件与密钥 4.1 加密套件 4.2 master secret ...
HTTP over SSL/TLS
qq_45206551的博客
04-10 1024
文章目录HTTPS 基本过程TLS 证书机制中间人攻击SSL 剥离HSTS伪造证书攻击HPKP HTTPS 基本过程 HTTPSHTTP over TLS,是一种在加密信道进行 HTTP 内容传输的协议。 TLS 的早期版本叫做 SSL。SSL 的 1.0, 2.0, 3.0 版本均已经被废弃,出于安全问题考虑广大浏览器也不再对老旧的 SSL 版本进行支持了,因此这里我们就统一使用 TLS...
rfc2818 --- HTTP Over TLS
weixin_34388207的博客
04-10 209
协议链接 本协议描述了如何使用TLS来对Internet上的HTTP进行安全加固。 2.1. Connection Initiation(链接初始化) HTTP client同时也作为TLS client(后续统一称为client)。在建立链接的时候,由client初始化TCP链接,并发出TLS ClientHello报文来开始TLS协商。当TLS协商完成后,client可以初始化首个HTTP请求...
HTTP网络协议六:HTTPSTLS的连接过程
qq_33960770的博客
04-05 1381
HTTPS介绍 HTTPS(HyperText Transfer Protocal Secure):超文本传输协议,是在HTTP的基础上使用SSL/TLS来加密报文,对窃听和中间人攻击提供合理的防护。 HTTP over TLSHTTP over SSL、 HTTP Secure HTTPS默认端口是443(HTTP为80) TLS:(Transport Layer Secuity):传输层安全性协议 前身是SSL(Secure Sockets Layer):安全套接字 SSL/TSL:也可
"TLS 1.3在互联网中的部署和影响
70TLS 1.3在实践中:TLS 1.3对互联网李贤宇美国印第安纳州西拉斐特普渡大学lee3816@purdue.edu金斗元美国田纳西doowon@utk.edu诺克斯维尔田纳西大学权永熙弗吉尼亚大学美国弗吉尼亚州夏洛茨维尔yongkwon@virginia....
不得不了解的HTTP协议
u012497653的博客
11-26 1274
了解 HTTP 协议 浏览器背后的故事 当我们在浏览器输入一个域名后,背后究竟发生了什么? 第一步:当我们输入域名后,在 DNS 服务器进行域名查询。 第二步:得到对应的 ip 地址。 第三步:浏览器根据 ip 向 web 服务器进行通信发送请求,而通信的协议就是 HTTP。 第四步:web 服务器回传页面内容。 第五步:浏览器收到回传信息的报文数据,进行渲染出我们看得懂的页面。 举个例子:如果我们想给张三打电话,我们需要在通讯录中先找到名字为张三的人,而张三这个名字就是域名,对应的手机号就是 ip。在通
Docker学习总结(12)——非常详细的 Docker 学习笔记
科技D人生
08-03 6465
一、Docker 简介 Docker 两个主要部件: Docker: 开源的容器虚拟化平台Docker Hub: 用于分享、管理 Docker 容器的 Docker SaaS 平台 -- Docker Hub Docker 使用客户端-服务器 (C/S) 架构模式。Docker 客户端会与 Docker 守护进程进行通信。Docker 守护进程会处理复杂繁重的任务,例如建立、运行、发
wireshark支持HTTP/2 Over TLS(Chrome、Firefox)
罗小爬的技术宝书
02-13 2019
本文主要介绍了如何通过wireshark抓取浏览器Chrome中的HTTP/2 Over TLS请求。
dotnet core 3.1 gRPC win7 NotSupportedException: HTTP/2 over TLS is not supported on Windows 7 due
ddsthinkyou123的专栏
05-23 1215
启动时报了2个错: 1、 AggregateException: One or more errors occurred. (HTTP/2 over TLS is not supported on Windows 7 due to missing ALPN support.) (HTTP/2 over TLS is not supported on Windows 7 due to missing ALPN support.) 2、NotSupportedException...
基于httpOverSSL
s18098934396的博客
03-18 160
sslCtx = SSL_CTX_new(SSLv23_server_method()); SSL_CTX_set_dufault_passwd_cb_userdata(sslCtx,(void*)tls.keypwd); if(!SSL_CTX_use_Private_file(sslCtx,tls.keyfile,X509_FILETYPE_PEM)) { printf("....\n...
HTTP-over-QUIC 将成为 HTTP/3 标准
cpongo5
11-12 330
hq (HTTP-over-QUIC)这个协议名称已经存在很长时间了,现在这个协议改了名称,正式成为HTTP / 3。IETF中的QUIC工作组致力于创建QUIC传输协议。QUIC (Quick UDP Internet Connection,快速UDP互联网连接) 是一个新的基于UDP的多路复用且安全的传输协议,最初由谷歌开发。它从头开始设计,且为 HTTP/2 语义做了优化。尽管以 HTTP/...
解密TLS协议全记录之利用wireshark解密
热门推荐
walleva96的博客
07-17 4万+
引言 为什么会突然有使用wireshark学习TLS的想法,主要是为了在nike官网抢限量球鞋,但是发现路子好像走歪了,唯一的价值好像就是多了这么一篇博客,查阅了很多有根据,没根据的博客内容,总结出这篇自以为还算全面,结实的文章。如有问题,欢迎讨论交流。 学习网络协议之前,必须先找对最基本的协议学习网站, rfc协议官网 https://www.rfc-editor.org ietf协议官网 https://www.ietf.org/ 这个网站我经常搜索不出比较理想的文件,标题不直观,杂七杂八的会议记录
HTTPS协议详解
搬砖信条
12-09 1529
HTTPS简介 超文本传输安全协议(HTTPS,常称为 HTTP over TLS/SSL)是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。 HTTPS如何保证数据传输的安全性 TLS/SSL TCP (Transmission Cont...
HTTPS协议
weixin_43222122的博客
01-30 522
HTTPS协议(全称是HTTP over SSL,即在HTTP传输上增加了SSL协议的加密能力)
TLS握手协商流程解析
曾梦想仗剑走天涯
06-03 1万+
1.Hello 协商加密套件与密码套件 2.客户端基于 Certificate 和 Server Key Exchange 计算对称密钥 3.服务端基于 Client Key Exchange 计算对称密钥 4.HTTP over TLSHTTPs
--default-tls-container-ref
06-07
`--default-tls-container-ref`是OpenStack中一些服务(如Neutron LBaaSv2)用于指定默认的TLS容器引用的参数。该参数指定了一个容器引用,该容器引用包含了用于终止TLS流量的SSL证书和私钥。 例如,在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值