【总结】理解HTTPS协议中信任关系和加密传输

已于 2022-08-01 00:31:48 修改
阅读量1.1k 收藏
点赞数
文章标签: ssl https
于 2022-07-31 16:41:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douruiling/article/details/126036602
版权

这里写自定义目录标题

前言

对于HTTPS安全协议,相信不少人都不陌生。它是基于SSL/TSL安全协议来保护HTTP负载,如果你打开页面曾遇到这样的界面,那么就是HTTPS安全协议在起作用了。这意味着这家站点的证书不可信,有可能是钓鱼网站,浏览器建议你关掉它。在这里插入图片描述
那么HTTPS协议是如何工作的呢?

建立对于站点的信任

在这里插入图片描述
HTTPS基于的SSL/TSL协议本质上是基于公钥密码体系的,上图展现了一个站点信任关系建立的过程。这个信任是基于客户端认可的权威,也就是CA,通常是国际证书认证的组织。服务站点需要申请获取由CA签名的证书。然后当客户端向它发起请求时,向客户端提供证书以证明自己的身份。
注意
这里仅仅是建立客户端对于站点的信任,而非站点对于客户端的信任。大部分情况下SSL/TSL协议只要求建立对于站点的信任,称之为Simple模式,而Mutual模式则是双方相互认证。【3】
客户端信任CA,从工程上来看,即客户端存有CA的证书(或者授予CA签名链上的父证书),通常浏览器安装时会配置一些主要的CA证书。
CA的证书可以是自签名的,也可以由更加上层的CA为其签名。

证书及签名

如果以上的文字描述还是较为抽象的话,可以做一下实验来切身感受签名和证书的长相。
假如你在系统中安装了OpenSSL工具,那么可以用它来生成证书。
比如我的系统中安装了下面版本的OpenSSL工具。

[root@localhost:~] openssl version OpenSSL 1.0.2y-fips  16 Feb 2021

生成自签名的证书

接着我使用OpenSSL生成了一个自签名的证书【1】。
注意:需要输入被签名者的各种身份信息。

$ openssl req -new -x509 -days 365 -out cert.crt
Generating a 2048 bit RSA private key
..........+++
...............................................................................+++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SH
Locality Name (eg, city) [Default City]:SH
Organization Name (eg, company) [Default Company Ltd]:MyCompany
Organizational Unit Name (eg, section) []:DEV
Common Name (eg, your name or your server's hostname) []:DRL
Email Address []:

来看看证书长什么样。

$ cat cert.crt
-----BEGIN CERTIFICATE-----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最低0.47元/天 解锁文章
douruiling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
什么是 HTTPS 的证书信任链?自己给自己发行不行?
hebiwen95的博客
08-06 3523
HTTPS 就是在 TCP 和 HTTP 之间加了一个 SSL 或者叫 TLS 层,实现了加密、身份认证、防篡改的功能。为了增加随机性,每次都要生成密钥来做加解密,传输这个密钥需要用到非对称加密的公私钥机制。公钥加密的内容只有私钥能解开,防止被窃取。私钥只有一个人有,所以加密的内容可以用作身份认证,也就是签名。对内容做 hash,然后私钥签名,就能做到完整性校验,防止被篡改。但是如何保证拿到的公钥一定是对方的,这是个复杂的问题。...
信任所有https的请求
zhouxiaohe666的博客
12-28 726
/**      * 信任所有https的请求:第一种实现,tls/ssl安全协议      */     private void loadData() {         OkHttpClient httpClient =                 new OkHttpClient.Builder()                         .addIntercept
Java加密技术(十一)——双向认证
AI开源工具分享
11-07 3万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书。证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘
https信任证书的三种方式
热门推荐
瑞军的博客
05-24 3万+
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了   证书信任的过程:   证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任) 客户端信任证书的过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断是否对客户端发送的证书进行信任,...
https双向认证
u014644574的博客
08-07 1万+
https双向认证
JavaSSLHTTPS协议实例源码
05-16
SSL是一种用于安全传输数据的协议,而HTTPS则是HTTP协议SSL/TLS(Transport Layer Security)的结合,确保了数据在网络加密传输。 首先,了解SSL的基本原理。SSL通过建立一个加密的连接,确保数据在客户端...
超文本传输安全协议HTTPS的学习文档
11-18
超文本传输安全协议HTTPS是一种基于HTTP协议的安全通信方式,它结合了SSL/TLS协议来加密数据包,确保网络通信的安全性。HTTPS的主要目的是提供服务器身份认证,保护数据的隐私和完整性,防止网络上的窃听和间人...
windows x64 下 的 libcurl库 和 openssl库 用于https数据传输
06-26
openssl则提供了一系列加密和证书处理的API,如`SSL_CTX_new()`创建SSL上下文,`SSL_library_init()`初始化openssl库,`X509_STORE_add_cert()`添加信任的CA证书,以及`SSL_connect()`和`SSL_accept()`建立和处理...
JavaSSLHTTPS协议实例源码.zip
08-29
HTTPS协议在HTTP的基础上加入了SSL/TLS层,使得普通的HTTP请求在传输过程被加密,防止间人攻击和数据篡改。当用户访问HTTPS网站时,浏览器会检查服务器的数字证书是否由可信任的证书颁发机构签发,以确保连接的...
ibcurl 库和openssl库 支持https数据传输.zip
07-11
在IT领域,HTTPS(HyperText Transfer Protocol Secure)是一种用于安全数据传输的协议,它通过SSL/TLS加密技术保护网络通信的隐私和完整性。libcurl是一个非常流行的开源库,用于处理各种网络协议,包括HTTPS。而...
解决浏览器”您的连接不是私密链接“的问题!最详细!!!
ChaosMaker的博客
05-24 3万+
Google的Chorom浏览器打开baidu主页,显示 您的连接不是私密连接 攻击者可能会试图从 x.x.x.x 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情 NET::ERR_CERT_INVALID 网上找了很多人的解决办法,但都不好用,比如输入thisisunsafe,修改DNS等等 其实这个问题的本质就是证书的问题,原因就是国内的很多网站,比如baidu、腾讯、163等等,他们的证书的颁发机构是一个Default Company Ltd,这个证书的安装路径不在受信任证书安装目录
【计算机网络】HTTPS协议详解
weixin_67596609的博客
10-05 5362
HTTPS协议是对HTTP协议的一种扩展,它在HTTP的基础上加入了SSL/TLS协议进行数据加密和认证。这使得通过HTTPS传输的数据更加安全可靠通过使用HTTPS协议,数据在传输过程得到了保护,有效防止了恶意攻击者窃听、篡改或伪造数据。这使得HTTPS成为保护网站安全和用户隐私的重要工具。首先什么是加密?加密的过程是什么?怎么将数据就保护起来了?后文会一一进行详细解释的。数据摘要(也称为数字指纹)是指通过一种算法将任意长度的数据转换成固定长度的二进制字符串。
https信任证书的三种方
u013406800的专栏
05-31 1641
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了 证书信任的过程: 证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任) 客户端信任证书的过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断
https信任所有证书
nz360的专栏
01-11 1738
public static class WebClientDevWrapper { public static org.apache.http.client.HttpClient wrapClient(org.apache.http.client.HttpClient base) { try { SSLContext
HttpClient发送https请求,信任所有证书
weixin_42142125的博客
11-01 3万+
客户端向服务器发送https请求时,会验证服务端的证书状态,可以设置信任所有证书,绕过这一步。 查看HttpClient官方文档,示例如下: 使用SSLContextBuilder来创建SSLContext实例,该类的方法如下: //参数为信任的证书,信任策略 public SSLContextBuilder loadTrustMaterial(KeyStore truststo...
java https信任所有证书
u012427018的博客
07-14 1万+
首先感谢http://www.infoq.com/cn/articles/keeping-your-secrets这篇文章解决了我的问题(即不能使用System.setProperty("https.protocols","TLSv1"); ) 以下是两个https信任所有证书的实例:package com.colotnet.util; import java.io.InputStre
Android开发之信任所有https证书
emptoney的博客
02-21 6484
我们经常会遇到在开发的开始的时候或者开发过程,服务端开发人员都会配置https证书,这些证书一般都是自建的,那么问题就来了,服务端开发人员配置了https证书,那在Android端也是需要配置相对应的证书的,不然的话无法和服务器进行交互,获取不了相关数据,在Android端如何配置证书这里就不多阐述了,在这里我讲一讲另外一种方法,用X509TrustManager来实现信任所有https证书,这
HTTPS协议研究 文WORD版
最新发布
11-02
HTTPS协议位于TCP/IP协议与应用层各协议之间,是基于HTTP协议的一种对传输数据加密的协议。可以将其简要分解为:HTTP+SSL.它建立在可靠的传输协议之上(如TCP协议等。)当数据经过TCP协议封装之后,SSL会对数据包进行进一步的加密和封装,然后让加密之后的数据包经过HTTP协议的进一步封装之后走在公共信道之上,加密之后的数据包能保证即使数据包被第三方截取之后也不能看到数据包里面的明文。感兴趣的朋友可以过来看看

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值