https加解密过程详解和TLS证书验证

最新推荐文章于 2024-05-06 22:29:10 发布
最新推荐文章于 2024-05-06 22:29:10 发布
阅读量3.4k 收藏 14
点赞数
分类专栏: 学习笔记 综合 协议
学习笔记 同时被 3 个专栏收录
20 篇文章 0 订阅
订阅专栏
综合
18 篇文章 0 订阅
订阅专栏
协议
2 篇文章 0 订阅
订阅专栏

定义

HTTPS是HTTP over SSL的简称,即工作在SSL上的HTTP,也就是加密通信的HTTP。

 

工作原理

HTTPS在通信过程中使用的是对称加密,当然,它的密钥是无法直接获取的,因为它的密钥是通过非对称加密进行传输的,中间还有很多复杂的过程,保证密钥是绝对安全的。

先简单看下https的加密过程,如下图:

文字描述一下这个过程,就是:

  1.客户端访问 https开头的url

  2.服务端返回公钥1,客户端验证通过(如果不通过,则访问终断)。

  3.客户端根据公钥1生成一个私钥2,这个私钥2用来加密和解密请求信息。使用公钥1对私钥2进行加密,回传给服务端。服务端用私钥1对该信息解密,得到私钥2。至此,客户端和服务端都已经有了私钥2。

  4.客户端和服务端之间使用私钥2对信息进行加密后通信,这样即使第三方抓包,也无法轻易获取通信内容了。

这里的公钥1和私钥1是非对称加密,私钥2是对称加密。

  • 对称密钥(Symmetric-key algorithm)又称为共享密钥加密,对称密钥在加密和解密的过程中使用的密钥是相同的,常见的对称加密算法有DES、3DES、AES、RC5、RC6。对称密钥的优点是计算速度快,但是他也有缺点,密钥需要在通讯的两端共享,让彼此知道密钥是什么对方才能正确解密,如果所有客户端都共享同一个密钥,那么这个密钥就像万能钥匙一样,可以凭借一个密钥破解所有人的密文了,如果每个客户端与服务端单独维护一个密钥,那么服务端需要管理的密钥将是成千上万,这会给服务端带来噩梦。
  • 非对称密钥(public-key cryptography),又称为公开密钥加密,服务端会生成一对密钥,一个私钥保存在服务端,仅自己知道,另一个是公钥,公钥可以自由发布供任何人使用。客户端的明文通过公钥加密后的密文需要用私钥解密。非对称密钥在加密和解密的过程的使用的密钥是不同的密钥,加密和解密是不对称的,所以称之为非对称加密。与对称密钥加密相比,非对称加密无需在客户端和服务端之间共享密钥,只要私钥不发给任何用户,即使公钥在网上被截获,也无法被解密,仅有被窃取的公钥是没有任何用处的。常见的非对称加密有RSA。

 

TLS

刚开始听到TLS的时候,你可能还不太熟悉,但是说起SSL你可能就觉得好耳熟了。其实TLS就是从SSL发展而来的,只是SSL发展到3.0版本后改成了TLS

TLS主要提供三个基本服务:

  • 加密
  • 身份验证,也可以叫证书验证吧~
  • 消息完整性校验

我们再看一遍客户端和服务端之间的加密机制:

TLS协议是基于TCP协议之上的,图中第一个蓝色往返是TCP的握手过程,之后两次绿色的往返,我们可以叫做TLS的握手。握手过程如下:

  1. client1TLS版本号+所支持加密套件列表+希望使用的TLS选项
  2. Server1:选择一个客户端的加密套件+自己的公钥+自己的证书+希望使用的TLS选项+(要求客户端证书)
  3. Client2:(自己的证书)+使用服务器公钥和协商的加密套件加密一个对称秘钥(自己生成的一个随机值)
  4. Server2:使用私钥解密出对称秘钥(随机值)后,发送加密的Finish消息,表明完成握手

经过这几次握手成功后,客户端和服务端之间通信的加密算法和所需要的密钥也就确定下来了,之后双方的通信都可以使用对称加密算法加密了。

 

证书机制/证书验证

TLS中,我们需要证书来保证你所访问的服务器是真实的,可信的。

看这张图我们来讨论下证书的验证过程。

  1. 客户端获取到了站点证书,拿到了站点的公钥;
  2. 要验证站点可信后,才能使用其公钥,因此客户端找到其站点证书颁发者的信息;
  3. 站点证书的颁发者验证了服务端站点是可信的,但客户端依然不清楚该颁发者是否可信;
  4. 再往上回溯,找到了认证了中间证书商的源头证书颁发者。由于源头的证书颁发者非常少,我们浏览器之前就认识了,因此可以认为根证书颁发者是可信的;
  5. 一路倒推,证书颁发者可信,那么它所颁发的所有站点也是可信的,最终确定了我们所访问的服务端是可信的;
  6. 客户端使用证书中的公钥,继续完成TLS的握手过程。

那么,客户端是如何验证某个证书的有效性,或者验证策略是怎样的?

证书颁发者一般提供两种方式来验证证书的有效性:CRLOCSP

CRL

CRL(Certificate Revocation List)即证书撤销名单。证书颁发者会提供一份已经失效证书的名单,供浏览器验证证书使用。当然这份名单是巨长无比的,浏览器不可能每次TLS都去下载,所以常用的做法是浏览器会缓存这份名单,定期做后台更新。这样虽然后台更新存在时间间隔,证书失效不实时,但一般也OK。

OCSP

OCSP(Online Certificate StatusProtocol)即在线证书状态协议。除了离线文件,证书颁发者也会提供实时的查询接口,查询某个特定证书目前是否有效。实时查询的问题在于浏览器需要等待这个查询结束才能继续TLS握手,延迟会更大。

以上是站点在证书颁发者的角度说明会提供的两种判断方式,实际情况下浏览器究竟会选择哪种方式判断,每个浏览器都会有自己的实现。

蜗牛1T
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
每天记录学习的新知识 :TLS/SSL证书验证
嗯...
05-25 749
苹果核 - Android App 安全的HTTPS 通信:http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html Android 根证书管理与证书验证https://blog.csdn.net/edmond999/article/details/87089833
HTTPS加密过程TLS证书验证
读研功夫
09-17 1326
前言 大家都知道,苹果在2016年WWDC上宣布了关于应用需要强制使用HTTPS的规定。这也算是个好消息吧,虽然开发者们可能需要适配下HTTPS,但是我们的应用可算是披上一个安全的保护罩了。本篇文章就算是笔者在学习HTTPS过程中的一个记录吧。 HTTPS加密过程 最近重新了解了下HTTP和HTTPS: 首先二者都是网络传输协议;HTTPS在传输过程中是可以通过加密来保护数据安全的,以免用户敏感信...
解密SSL/TLS:密码套件扫描仪的深度解析(C/C++代码实现)
最新发布
chen1415886044的博客
05-06 1084
SSL/TLS协议是网络安全中不可或缺的一部分,它们为网络通信提供了传输层的数据安全。 首先,来了解一下SSL和TLS的概念。SSL(安全套接字层)是一种早期的安全协议,它的主要目的是在Web服务器和Web浏览器之间创建加密连接。而TLS(传输层安全性)是SSL的后继者,它在SSL的基础上进行了改进和标准化,目前被广泛使用以确保互联网通信的私密性和数据安全性。 接下来,深入探讨一下SSL/TLS协议的基础构成。SSL/TLS协议主要分为两层,底层是记录协议,负责使用对称密码对消息进行加密。
https
weixin_30314631的博客
05-28 126
https原理:证书传递、验证和数据加密、解密过程解析 分类:网络/网络安全/缓存/消息队列服务器/架构2014-03-26 15:102602人阅读评论(0)收藏举报 https加密证书解密 目录(?)[+] 写的太好了,就是我一直想找的内容,看了这个对https立马明白多了 http://www.cnblogs.com/zhuqil/...
tls证书验证_相互TLS身份验证(mTLS)神秘化
weixin_26722031的博客
08-02 7130
tls证书验证A walk-through of a simplified implementation of mTLS. mTLS简化实现的演练。 First, what is TLS? 首先,什么是TLS? Transport Layer Security (TLS), and its now-deprecated predecessor, Secure Sockets Layer (SS...
TLS证书验证过程
新手写博客的专栏
09-19 450
证书颁发机构签发的根证书内包含根证书颁发机构的公钥,并且该根证书嵌入在浏览器中,然后,根证书颁发机构也会用自己的私钥给中间证书颁发机构产生的证书进行签名,接下来,中间证书颁发机构会用自己的私钥给服务器证书进行签名。所以,连接服务器的用户最终拿到的是包含中间证书颁发机构的证书和服务器证书,用户应当用中间证书颁发机构的公钥验证服务器证书的签名,并用保存在自己浏览器的根证书颁发机构的公钥验证中间证书的签名,对吗?中间证书的签名是由根证书颁发机构签发的,客户端验证中间证书是为了建立信任链,以验证服务器证书
如何设置相互TLS身份验证
danpob13624的博客
04-06 788
因此,您有了一个管理面板,因为与使用Rails控制台管理应用程序相比,它更容易。 另一方面,这是一个非常敏感的地方。 如果有人获得了访问权限,那将是……不好。 您已经拥有了所有东西:没有保存在电子邮件中的强密码,以及用于整个应用程序和蛮力保护的TLS。 但是,如果您和其他几个人甚至都无法访问管理面板,该怎么办? 一种方法是使其成为Intranet上的内部应用程序。 另一个选择可能...
Android 安全加密:数字签名和数字证书详解
09-01
实际开发中,对称加密用于高效的数据加解密,非对称加密用于秘钥交换和身份验证,消息摘要算法用于检查数据完整性,而数字签名和证书则确保了通信的可靠性和不可否认性。 在Android开发中,要实现HTTPS接口的调用,...
详解HTTPS 的原理和 NodeJS 的实现
10-19
这些证书由权威的证书颁发机构(CA)签发,包含服务器的公钥和证书颁发机构的信息。客户端可以通过验证证书链来确保服务器的真实性。 2. **数据加密**:HTTPS使用非对称加密和对称加密相结合的方式。在握手阶段,...
Kubernetes中的证书工作机制详解
11-29
在 Kubernetes 中,每个组件都可能需要服务器端证书(含公钥和私钥)、客户端证书(同样含公钥和私钥)以及相应的 CA 根证书验证对方的身份。 - 服务器端证书:证明服务器身份的数字证书,包含服务器的公钥和身份...
https原理:证书传递、验证和数据加密、解密过程解析
11-14
HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证
易语言的网络验证实现详解
08-26
易语言的网络模块一般支持SSL连接,但开发者需要了解如何处理证书证书链,确保安全连接。 6. **错误处理**:网络通信过程中可能会出现各种错误,如网络中断、超时、服务器响应异常等。易语言的程序设计中需要包含...
利用C#实现SSLSocket加密通讯的方法详解
12-17
下面我分别说说使用C#实现单向认证和双向认证的过程,并用代码实现。 一、 单向认证 第1步:准备一个数字证书,可以使用如下脚本生成 先进入到vs2005的命令行状态,即: 开始–>程序–>Microsoft Visual Studio 2005...
一文详解 HTTPSTLS证书链校验
bjxiaxueliang的CODING技术小馆
06-23 1845
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
TLS原理及证书生成
zhypss的博客
06-10 3274
1、生成RSA密钥 > openssl genrsa -des3 -out mykey.pem 2048 或者: > openssl genrsa -out mykey.pem 2048 建议用2048位密钥,少于此可能会不安全或很快将不安全。 2、生成证书请求 > openssl req -new -key mykey.pem -out cert.csr cert.csr即一个证书请求文件,可以拿着这个文件去数字证书颁发机构(CA)申请数字证书。CA会给一个新的文件cacer
https生成证书 加密 解密 验签
qq_19520877的博客
07-12 217
借鉴大神的帖子 https://www.iteye.com/blog/snowolf-391931
SSL/TLS验证_01_基础知识
毛毛的专栏
05-10 3332
一、SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修
HTTPS加密过程详解
04-02
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的HTTP协议,它是在传输层(TLS/SSL)上建立的,可以保证数据在传输过程中的安全性和完整性。 HTTPS加密过程如下: 1. 客户端向服务器发送HTTPS请求。 2. 服务器返回证书证书中包含了服务器的公钥和证书的颁发机构等信息。 3. 客户端验证证书的合法性。客户端会检查证书是否过期、是否被吊销、是否是由可信任的证书颁发机构颁发等。 4. 如果证书验证通过,客户端生成一个随机数作为对称密钥,并使用服务器的公钥对该密钥进行加密,然后将加密后的密钥发送给服务器。 5. 服务器使用自己的私钥对客户端发送过来的密钥进行解密,得到对称密钥。 6. 客户端和服务器使用对称密钥进行加密通信。 在整个过程中,客户端和服务器之间的通信都是加密的,保证了通信的安全性和完整性。同时,通过证书验证,客户端可以确保自己正在与合法的服务器进行通信,避免了中间人攻击等安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值