目录
一.什么是HTTPS
- HTTPS是一种通过加密的方式在网络上传输数据的协议,全称为HyperText Transfer Protocol Secure。它是HTTP协议的安全版本,通过使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)协议来加密网络数据传输。HTTPS的加密机制可以确保数据在传输过程中的安全性和完整性,防止数据被篡改或窃取。
- 在HTTPS连接中,客户端和服务器之间的通信会经过加密处理,使得第三方无法轻易获取到传输的数据内容。这通常通过使用服务器证书来建立一个安全的通信信道。当用户在浏览器地址栏中输入一个以"https://"开头的网址时,浏览器会与服务器建立一个安全连接,并显示一个锁形状的图标,以指示当前连接是加密保护的。
- HTTPS已经被广泛用于网上购物、在线银行和其他涉及敏感信息的网站,因为它提供了更高的安全性和保护用户隐私的能力。通过使用HTTPS,用户可以更安全地浏览网页、发送数据和进行在线交易。
二. HTTPS 的加密流程
首先,先了解一下,什么是对称加密和非对称加密
对称加密:只有一个密钥 key
明文+key=密文
密文+key=明文
特点:计算起来比较快速非对称加密:有两个密钥:公钥(pub),私钥(pri)
明文+pub=密文 或者 明文+pri=密文
密文+pri=明文 密文+pub=明文
特点:计算起来比较慢,消耗得资源也就多.
1.使用对称密钥
这种方式跟明牌没什么区别,黑客只要拦截数据就可以了,加密了个寂寞
发现,只要让黑客拿不到key,那不就安全了,因此,我们可以使用非对称密钥来对key进行加密.
2.使用非对称加密,来安全传输对称密钥key
服务器有公钥pub和私钥pri--客户端有公钥pub--黑客有公钥pub
服务器有key--客户端有key--黑客没有获得key
客户端和服务器可以根据key来加密数据和解析数据,由于黑客没有key,因此黑客破解不了数据.
3.黑客使用中间人攻击,从而拿到对称密钥key
黑客学聪明了,欺骗了服务器和客户端,接下来看黑客怎么骗的.
上述操作后,黑客得到了key,从而实现客户端和服务器之间的信息透明. 那么问题就出在客户端是否得到了服务器的公钥pub还是黑客的公钥pub2.我们引入证书,让客户端能够验证公钥pub是否合法
4.使用证书,使客户端能够验证该公钥是否合法
- 校验和:是根据 公钥pub和URL,过期时间等等(证书里有很多东西)一些 通过数学计算得到的数字,他的作用是检验数据是否被修改过.如果修改过,那么通过计算得到的数字就跟校验和不一样.只有之前的东西一模一样,算出来的数字才是一样的.
- 注意,黑客连同数据 和 "校验和" 一起改不就行了吗,黑客改个数据,然后再算一个数字,把这个数字修改到"校验和"中,这样你不就发现不了吗?
- 而且权威机构生成的pub3是操作系统自带的,也就说是个电脑都有pub3,那黑客是不是就可以使用pub3对加密的"校验和"进行破解了,然后就得到"校验和",然后我再修改"校验和"
不就可以了吗?- 答: 是可以,但你要怎么对你修改后的"校验和"进行加密呢,黑客是没有pri3的啊,那黑客随便加密一个呗,不行,因为客户端是会拿着pub3进行解析的,你黑客随便加密的,客户端使用pub3破解不了,这时候客户端就知道了你是修改过数据的.
- 小知识:证书里的所有内容,黑客是都可以看到,但是不重要,看到就看到呗,也挣不了钱,重要的是客户端和服务器的数据,这些东西不能被黑客看到.
看到这里,你可能会想,那黑客有pri3怎么整呢,如果黑客有pri3,那就可以修改数据和"校验和",也就可以获取信息了.但是权威机构也不是白叫的啊,那能让你得到pri3吗?不太现实的.
这一套流程下来,黑客也就只能干瞪眼了.
2202
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
