HTTPS(超文本传输安全协议)使用HTTP进行通信,但利用SSL/TLS来加密数据包。HTTP以明文的方式在网络中交换数据,攻击者可以轻易通过监听或中间人攻击等手段,获取网站帐户和敏感信息等,而HTTPS可以做到如下几个特性:
保密性:客户端的连接被加密,隐藏了 URL、cookie 和其他敏感元数据。
真实性: 确保客户端正在与“真实”的服务端通信,而非中间人。
准确性:客户端与服务端之间发送的数据没有被篡改。
数字证书
所谓证书就是第三方(自签证书没有公证效应)颁发的认证,在HTTPS中存在一种认证机构即CA(Certification Authority),由它来证明你所连接的服务端就是你想要连接的server,即保证服务端真实性。
- 首先站点的所有者生成一个密钥对,然后掏钱将站点的信息如域名、组织信息等以及公钥提交给CA机构审核,即证书签名请求 (CSR)。
- CA机构审核通过后,用它独有的私钥对CSR信息(其实是CSR信息的hash值,用于加速加、解密)进行加密,即形成数字签名,用于验证证书是否被篡改,经过签名后一个完整的数字证书就成了其中包含站点信息、数字签名。
服务器首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给服务器,此时服务器就不是简单的把公钥给客户端,而是给客户端一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是服务器给客户端的。中间人发送的伪造证书,不能够获得CA的认证,此时,客户端和服务器就知道通信被劫持了。
- 当client请求时server返回数字证书,先查看证书认证的域名或所有者是谁?如果与你访问的域名不一致毫无疑问你正遭受中间人攻击,这是一个假站点请停止访问。
- 如果一致,接着client查看证书的签发CA机构是谁?找到浏览器或操作系统中对应的内置CA公钥,找不到?对不起,这个站点不安全(这其实也是垄断和付费的根源),如果找到则使用公钥解密签名得到hash值和此时证书中CSR信息的hash值做对比,如果一致,则这个证书没有被修改,你访问的站点很安全,取出证书中公钥来做加密通信吧。
扫一扫
914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
