目录
简介
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础上加入SSL层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要SSL。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP之间)。
HTTPS 协议是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。设计目标主要有三个:
(1)数据保密性:保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样,都进行了封装,别人无法获知里面装了什么。
(2)数据完整性:及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。
(3)身份校验安全性:保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方,通过身份校验来确保送对了地方。
http的优缺点
使用明文传输,容易被中间人攻击。消息完整性检测不足(仅在头部包含了本次传输数据的长度,内容未验证)。有关HTTP协议内容可查看文章网络-http协议学习笔记(消息结构、请求方法、状态码等)
https的优缺点
缺点
-
相同网络环境下,HTTPS 协议会使页面的加载时间延长近 50%,增加 10%到 20%的耗电。此外,HTTPS 协议还会影响缓存,增加数据开销和功耗。
-
HTTPS 协议的安全是有范围的,在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
-
最关键的是,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
-
成本增加。部署 HTTPS 后,因为 HTTPS 协议的工作要增加额外的计算资源消耗,例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。在大规模用户访问应用的场景下,服务器需要频繁地做加密和解密操作,几乎每一个字节都需要做加解密,这就产生了服务器成本。
优点
-
使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
-
HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 HTTP 协议安全,可防止数据在传输过程中被窃取、改变,确保数据的完整性。
SSL
SSL(Secure Socket Layer,安全套接字层),用来保障在网络上数据传输的安全,利用数据加密技术,可确保数据在网络上的传输过程中不会被截取,当前版本为3.0。
自从出了POODLE漏洞之后,SSL3.0已经直接定性成不安全的协议版本了。pdf下载链接如下,共4页,可以看一下,漏洞编号为CVE-2014-3566。
《This POODLE Bites: Exploiting The SSL 3.0 Fallback》
TLS
TLS(Transport Layer Security,安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。最新版本为TLS1.3(2018)。
HTTPS过程
四次握手:
-
Client Hello:当客户端连接到支持TLS协议的服务器时,要求创建安全连接并给出受支持的密码组合(支持的协议版本、加密密码算法和加密哈希函数、随机数1(Client random)),握手开始。
-
Server Hello、Certificate、ServerkeyExchange、Server Hello Done:服务器从列表中选择加密方法,随机数2(Client random),连同数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥,发给客户端。
- Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message:客户端确认其颁发的证书的有效性,使用服务器的公钥加密随机数3(Premaster secret)生成的密钥,并将其发送到服务器
-
服务器使用自己的私钥解密密钥,获得随机数3(Premaster secret)。
利用前面的3个随机数,双方生成用于加密和解密的对称/会话密钥(session key)。
这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
CA
CA(Certificate Authority,证书的签发机构)是PKI(Public Key Infrastructure,公钥基础设施)的核心,是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥),网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
HTTPS真的安全吗???
哪些CA的公钥可以被认可这件事情,是由操作系统为你做的,操作系统在安装的时候会内置可信CA的列表。
Windows系统,Win+R,输入certmgr.msc,可查看系统自带证书。
浏览器证书
以csdn为例
在网络安全专栏中有关于xss攻击和csrf攻击的文章,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任,信任链必然有一个根结点,如果什么都不信任,也就没办法通信,而HTTPS则是信任CA、操作系统、浏览器,所以,下载正版的操作系统、浏览器可以相对安全(为什么说相对呢?谁知道Windows会不会摆你一道,比如,斯诺登事件)。
HTTPS抓包与修改
开发者神器库
上方链接不是官网,是这位老哥的CSDN中关于开发者神器库的文章,里面有官网、软件等。
我们进行百度主页的篡改,和CSDN的篡改。
自动代理配置
左侧菜单网络抓包->自动代理设置,选择WLAN。
自动代理设置
新版火狐不成功的话,自己手动设置。
添加过滤
代理抓包
首次使用需要下载证书,这是信任链的根节点,代表我们信任这款软件。
安装证书
此时,我们的操作系统已经信任此款软件了。
点击下方"检测到新纪录,点此刷新!"就可以看到如下内容。
过滤的不是很好的话就自行查找
数据包篡改
HTTPS伪造改包->启用百度改为度娘
之前的版本点击高级,有信任选项,现在火狐不信任操作系统了,需要再在浏览器中导入证书。
菜单->选项,隐私与安全,后面的看下图。
修改下百度改为度娘的代码,ID为12,前面11的那个我禁用了。
Fiddler
上面的软件在Windows上运行没问题,在Mac或Linux上就得使用Wine了(类似于Windows中可以使用CygWin来运行Linux软件及命令)。而这一款软件,支持Windows、Mac和Linux。博主下载了,看了几个小功能,还不熟悉,有时间学了再更新。
本来只是想简单说下原理,但是不实践就手痒,唉~头发又少了:(
参考
How does HTTPS work? What's a CA? What's a self-signed Certificate?
SSL, TLS, HTTP, HTTPS Explained
更多内容查看:网络安全-自学笔记
喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。如果您感觉有所收获,自愿打赏,可选择支付宝18833895206(小于),您的支持是我不断更新的动力。