HTTPS 原理解析

最新推荐文章于 2024-07-13 18:12:25 发布
最新推荐文章于 2024-07-13 18:12:25 发布
阅读量677 收藏
点赞数
分类专栏: 计算机基础 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huang211630/article/details/75207965
版权

文章参考:
http://www.cnblogs.com/zery/p/5164795.html

一,前言
网景在1994年创建了HTTPS,并应用在网景导航者浏览器中。 最初,HTTPS是与SSL一起使用的;在SSL逐渐演变到TLS时,最新的HTTPS也由在2000年五月公布的RFC 2818正式确定下来。
它是由Netscape开发并内置于其浏览器中,用于对数据进行加密和解密操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
也就是说它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性,凡是使用了 https 的网站,都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息,也可以通过 CA 机构颁发的安全签章来查询

二,https验证原理。
Https在真正请求数据前,先会与服务有几次握手验证,以证明相互的身份,以下图为例
这里写图片描述

2.1 验证流程

注:文中所写的序号与图不对应但流程是对应的

1 客户端发起一个https的请求,把自身支持的一系列Cipher Suite(密钥算法套件,简称Cipher)发送给服务端

2 服务端,接收到客户端所有的Cipher后与自身支持的对比,如果不支持则连接断开,反之则会从中选出一种加密算法和HASH算法

以证书的形式返回给客户端 证书中还包含了 公钥 颁证机构 网址 失效日期等等。

3 客户端收到服务端响应后会做以下几件事

3.1 验证证书的合法性 

    颁发证书的机构是否合法与是否过期,证书中包含的网站地址是否与正在访问的地址一致等

    证书验证通过后,在浏览器的地址栏会加上一把小锁(每家浏览器验证通过后的提示不一样 不做讨论)

3.2 生成随机密码

    如果证书验证通过,或者用户接受了不授信的证书,此时浏览器会生成一串随机数,然后用证书中的公钥加密。       

3.3 HASH握手信息

   用最开始约定好的HASH方式,把握手消息取HASH值,  然后用 随机数加密 “握手消息+握手消息HASH值(签名)”  并一起发送给服务端

   在这里之所以要取握手消息的HASH值,主要是把握手消息做一个签名,用于验证握手消息在传输过程中没有被篡改过。

4 服务端拿到客户端传来的密文,用自己的私钥来解密握手消息取出随机数密码,再用随机数密码 解密 握手消息与HASH值,并与传过来的HASH值做对比确认是否一致。

然后用随机密码加密一段握手消息(握手消息+握手消息的HASH值 )给客户端

5 客户端用随机数解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密

因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截也是没法解密数据的,以此保证了通信的安全

非对称加密算法:RSA,DSA/DSS 在客户端与服务端相互验证的过程中用的是对称加密
对称加密算法:AES,RC4,3DES 客户端与服务端相互验证通过后,以随机数作为密钥时,就是对称加密
HASH算法:MD5,SHA1,SHA256 在确认握手消息没有被篡改时

2.2 客户端如何验证 证书的合法性?

1. 验证证书是否在有效期内。

  在服务端面返回的证书中会包含证书的有效期,可以通过失效日期来验证 证书是否过期

2. 验证证书是否被吊销了。

  被吊销后的证书是无效的。验证吊销有CRL(证书吊销列表)和OCSP(在线证书检查)两种方法。

证书被吊销后会被记录在CRL中,CA会定期发布CRL。应用程序可以依靠CRL来检查证书是否被吊销了。

CRL有两个缺点,一是有可能会很大,下载很麻烦。针对这种情况有增量CRL这种方案。二是有滞后性,就算证书被吊销了,应用也只能等到发布最新的CRL后才能知道。

增量CRL也能解决一部分问题,但没有彻底解决。OCSP是在线证书状态检查协议。应用按照标准发送一个请求,对某张证书进行查询,之后服务器返回证书状态。

OCSP可以认为是即时的(实际实现中可能会有一定延迟),所以没有CRL的缺点。

3. 验证证书是否是上级CA签发的

windows中保留了所有受信任的根证书,浏览器可以查看信任的根证书,自然可以验证web服务器的证书,
是不是由这些受信任根证书颁发的或者受信任根证书的二级证书机构颁发的(根证书机构可能会受权给底下的中级证书机构,然后由中级证书机构颁发中级证书)
在验证证书的时候,浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证,只有路径中所有的证书都是受信的,整个验证的结果才是受信

梦中的冰原
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpClient 4.5.X 实现https请求绕过SSL/TLS连接
工作记录
05-22 1353
HttpClient升级部分类和方法过时,故整理新版处理方式 注:本博文适用httpclient 4.5.X httpclient版本:4.5.11 <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.11</version> </dep
HTTPS 协议简介
08-23 249
一、HTTPS简介HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。htt...
关于密码学的进一步答疑:SSL和TLS的区别、CA和CT的关系
Deng's Blog
05-01 822
文章主要对密码学中SSL和TLS的区别、CA和CT的关系这两大问题予以了回应。
使用RestTemplate访问https实现SSL请求操作,设置TLS版本
记录个人学习笔记总结,遇见问题等
02-14 3594
使用RestTemplate访问https实现SSL请求操作,设置TLS版本
深度解析HTTPS原理
常见的专栏
04-01 2676
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来
HTTPS原理解析
小花魁的博客
08-22 535
HTTPS原理解析 开门见山地说,众所周知,HTTPS=HTTP+SSL/TLS,使用非对称加密算法+对称加密算法的混合加密算法。 最近在面试过程中被问到几次这个问题,看过几篇博客,说的都不是很清楚,理解也有偏差,毫无意外的面试都挂了,今天看到了阮一峰老师的博客——图解SSL/TLS 协议,终于有一种醍醐灌顶的感觉。 关键点 对称加密算法的秘密密钥用于加密正文数据(即建立SSL连接后客户端与服务...
HTTPS 简析
略略略
09-28 183
HTTP 的缺点 http 协议是明文传输数据的,不够安全,在传输的途中完全可以被捕获篡改或者盗取信息。 比如:浏览器想向服务器发送登陆的数据(账号密码),在传输的过程中由于使用的是 http 协议,怀有恶意的人就可以获取到数据的内容并篡改。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4TcFFhBs-1601230120609)(https://imgkr2.cn-bj.ufileos.com/a1c5aeef-371a-4d38-8266-46ff1d79819f.p
微信小程序之数据绑定原理解析
10-16
本文将深入解析微信小程序的数据绑定原理,帮助初学者更好地理解和运用这一功能。 首先,我们来看看页面布局。在创建微信小程序时,我们需要设计页面的结构,通常会用到盒模型进行布局。例如,一个页面可能包含多个...
Sniffer解析原理
02-23
在本文中,我们将专注于软件Sniffer的原理解析。 Sniffer的基本原理是利用网络的底层特性,特别是数据链路层和物理层的功能,来捕获在网络上传输的所有信息。由于网络通信通常基于开放系统互连(OSI)模型或TCP/IP...
Jmeter工作原理及常见错误解析
09-07
以上就是JMeter工作原理及常见错误解析的详细说明。理解这些基本概念和解决策略,将有助于更有效地进行性能测试,确保系统的稳定性和高效性。在实际应用中,还可以根据项目需求,灵活调整测试计划,以实现更精准的...
Java switch case数据类型原理解析
08-25
"Java switch case 数据类型原理解析" Java switch case 语句是 Java 语言中的一种控制流语句,用于判断一个变量与一系列值中某个值是否相等,每个值称为一个分支。switch 语句的语法格式如下: switch(expression...
Docker镜像分析工具dive原理解析
01-08
工具地址:https://github.com/wagoodman/dive,Star 数:22k+。 这个工具可以清晰得看到镜像每一层都包含哪些内容,方便你分析是否有必要,如下图所示。 特性 该工具的主要特性包括: 按层显示 Docker 镜像内容...
HTTPS之TLS 学习(未完待续)
ACERROR
04-07 660
HTTPS HTTPS 其实是一个“非常简单”的协议,RFC 文档很小,只有短短的 7 页,里面规定了新的协议名“https”,默认端口号 443,至于其他的什么请求 - 应答模式、报文结构、请求方法、URI、头字段、连接管理等等都完全沿用 HTTP,没有任何新的东西。 也就是说,除了协议名“http”和端口号 80 这两点不同,HTTPS 协议在语法、语义上和 HTTP 完全一样,优缺点也“照单全收”(当然要除去“明文”和“不安全”)。 SSL/TLS是位于TCP、IP7层协议中的会话层,用于认证用户和服
HTTPS 原理解析(转)
weixin_34072458的博客
02-01 352
一 前言   在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF...
使用个人p12证书请求https接口数据
qq_34075559的博客
07-13 101
【代码】使用个人p12证书请求https接口数据。
Qt中https的使用,报错TLS initialization failed和不能打开ssl.lib问题解决
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-13 430
在现代应用程序中,安全地传输数据变得越来越重要。Qt提供了一套完整的网络API来支持HTTP和HTTPS通信。然而,在实际开发过程中,开发者可能会遇到SSL相关的错误,例如“TLS initialization failed”,cant't open ssl.lib等问题。本文将介绍如何在Qt中使用HTTPS进行网络访问,网上搜到的结果大都是错的。这里并提供解决TLS初始化失败和SSL库问题的方法。
docker安装nginx并配置https
wangqiaowq的博客
07-12 176
参考。
HTTPS原理介绍.pptx
06-13
"此资源是一个关于HTTPS原理的PPT分享,由林婧于2020.10.21分享,涵盖了密码基础、数字证书以及HTTPS原理,并提出了进阶思考问题。" **01PART 密码基础** 在HTTPS中,密码学扮演着至关重要的角色。主要有三种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值