HTTPS 原理分析——带着疑问层层深入,系统盘点Android开发者必须掌握的知识点

最新推荐文章于 2024-06-14 14:51:35 发布
最新推荐文章于 2024-06-14 14:51:35 发布
阅读量562 收藏 8
点赞数 5
分类专栏: 程序员学习 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60607927/article/details/136882922
版权

“中间人攻击”的具体过程如下:

WX20191126-212406@2x.png

过程原理:

  1. 本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器

  2. 中间人服务器返回中间人自己的证书

  3. 客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输

  4. 中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密

  5. 中间人以客户端的请求内容再向正规网站发起请求

  6. 因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据

  7. 中间人凭借与正规网站建立的对称加密算法对内容进行解密

  8. 中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输

  9. 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

浏览器是如何确保 CA 证书的合法性?

1. 证书包含什么信息?

  • 颁发机构信息

  • 公钥

  • 公司信息

  • 域名

  • 有效期

  • 指纹

2. 证书的合法性依据是什么?

首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

3. 浏览器如何验证证书的合法性?

浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书,浏览器需要对证书做以下验证:

  1. 验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证;

  2. 判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;

WX20191127-084216@2x.png

  1. 判断证书是否被篡改。需要与 CA 服务器进行校验;

  2. 判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第3步中以减少与 CA 服务器的交互,提高验证效率

以上任意一步都满足的情况下浏览器才认为证书是合法的。

这里插一个我想了很久的但其实答案很简单的问题:

既然证书是公开的,如果要发起中间人攻击,我在官网上下载一份证书作为我的服务器证书,那客户端肯定会认同这个证书是合法的,如何避免这种证书冒用的情况?

其实这就是非加密对称中公私钥的用处,虽然中间人可以得到证书,但私钥是无法获取的,一份公钥是不可能推算出其对应的私钥,中间人即使拿到证书也无法伪装成合法服务端,因为无法对客户端传入的加密数据进行解密。

4. 只有认证机构可以生成证书吗?

如果需要浏览器不提示安全风险,那只能使用认证机构签发的证书。但浏览器通常只是提示安全风险,并不限制网站不能访问,所以从技术上谁都可以生成证书,只要有证书就可以完成网站的 HTTPS 传输。例如早期的 12306 采用的便是手动安装私有证书的形式实现 HTTPS 访问。

WX20191127-130501@2x.png

本地随机数被窃取怎么办?

证书验证是采用非对称加密实现,但是传输过程是采用对称加密,而其中对称加密算法中重要的随机数是由本地生成并且存储于本地的,HTTPS 如何保证随机数不会被窃取?

其实 HTTPS 并不包含对随机数的安全保证,HTTPS 保证的只是传输过程安全,而随机数存储于本地,本地的安全属于另一安全范畴,应对的措施有安装杀毒软件、反木马、浏览器升级修复漏洞等。

用了 HTTPS 会被抓包吗?

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级安卓工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Android)
img

YCC9f-1710926178452)]

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Android)
[外链图片转存中…(img-gexGPhSV-1710926178453)]

DJ程序员
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发者必知必会的权限管理知识
02-25
本文主要讲解了Android权限管理方面几个Android权限背景知识;权限检查及权限兼容;跳转到app管理权限页面提到Android权限管理,业内人士都知道Google在Android6.0时提出了运行时权限管理机制,在Android6.0之前...
深入Android【二】——架构和学习
03-02
Android架构和特征千呼万唤始出来,犹抱琵琶半遮。--《琵琶行》虽贵为富二代...除非要做的是Android到不同设备的移植工作,否则对于大部分普通开发者而言,基本上是远观而不必亵玩的。Google一直强调,Android的底层实
Android开发者学习笔记-View、Canvas、bitmap.pdf
11-16
Android开发者学习笔记-View、Canvas、bitmap.pdf
SRE 排障利器,接口请求超时试试 httpstat
n9ecommunity的博客
06-11 335
A 服务调用 B 服务的 HTTP 接口,发现 B 服务返回超时,不确定是网络的问题还是 B 服务的问题,需要排查。httpstat 工具应运而生
java里面封装https请求工具类2
sunsiny
06-08 297
encodeJson 是请求参数的密文格式(大公司都是要对请求参数加密的)ResponseBean 是自己或者对方定义的返回内容参数。
方法分享 |公网IP怎么指定非433端口实现https访问
JOYSSL230519的博客
06-06 1090
这不仅提供了更大的灵活性,还能在特定情况下避免某些限制,如未备案服务器无法使用常规HTTPS端口、443端口被占用,运营商无法开发443端口等问题。将SSL证书和相关的私钥文件配置到服务器中,确保服务器能够使用这些证书进行安全的HTTPS连接。最主要的是他们在签发证书的时候支持多端口如80、443、22、25等端口进行验证,而且支持免费试用。客户端访问时需在URL中包含指定的端口号,例如:https://your_public_ip:8090。# your_ip修改为证书绑定的公网IP。
SringBoot 如何使用HTTPS请求及Nginx配置Https
最新发布
傲视苍穹
06-14 689
但需要注意,通过此命令如果找到的是安装后的命令则无效,仍不好使,需要找到安装源路径,如无法找到,可以通过https://www.openssl.org/source/ 下载进行安装。为什么转呢,因为Nginx的配置中是要求一个.key和.pem格式的,其他可否,我没有验证。解决这个问题,首先需要检查是否安装了OpenSSL,通过openssl version查看,未安装可以参考以下命令进行安装。证书生成完成后,可以导入到到项目中,将其复制到Springboot项目的resources目录下。
Linux网络-HttpServer的实现
fengjunziya的博客
06-14 322
之前我们简单理解了一下Http协议,本章我们将在LInux下使用Socket编程自主完成一个HttpServer。可以做到接收Http报文数据,加以解析再向远端发送Http报文数据。之前写过很多遍的网络套接字编程代码就不再重复写了,这里直接写关于HttpServer的代码本章学习了如何搭建一个建议的httpServer,并通过浏览器进行访问。下一章我们将学习https协议。
Go使用https
qq_35191331的博客
06-11 359
为了方便介绍后面的检测h2的插件和检测有没有开h2的方法,这边给出了几个已经开启了h2的一些网站地址。开启了http1.1的网站。开启了http2.0的网站。当访问开启h2的网站。
SOCKS5代理与其他代理(HTTP代理、HTTPS代理、SOCKS4代理)协议相比,有何不同?
superLxhao的博客
06-07 761
SOCKS5代理与其他代理(HTTP代理、HTTPS代理、SOCKS4代理)协议不同比较
nc网络收发测试-tcp客户端\TCP服务器\UDP\UDP广播
06-14 275
nc网络收发测试-tcp客户端
计算机网络(6) ICMP协议
qq_42761215的博客
06-14 391
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
计算机网络 —— 网络层(CIDR)
qq_67693066的博客
06-09 1212
计算机网络 —— 网络层 (CIDR)
计算机网络 —— 网络层 (路由协议)
qq_67693066的博客
06-09 1331
计算机网络 —— 网络层(路由协议)
✊构建浏览器工作原理知识体系(网络协议篇)
坚信万物皆可切的切图仔
06-11 756
正如上面所说,为了保证数据的可靠传输和顺序传输,以及进行流量和拥塞控制,发送请求之前需要先建立TCP连接。Socket:由 IP 地址和端口号组成序列号:用来解决乱序问题等窗口大小:用来做流量控制所以在发送请求之前,客户端和服务端需要先相互发送TCP报文学如逆水行舟,不进则退~加油吧少年👊👊👊先看后赞,养成习惯👍个关注,不要迷路🪤。
C#学习系列之UDP同端口发送与接收
arriettyandray的博客
06-11 328
C#学习系列之UDP同端口发送与接收
计算机网络(3) 字节顺序:网络字节序与IPv4
qq_42761215的博客
06-12 565
网络字节序转化
计算机网络(6) TCP协议
qq_42761215的博客
06-13 802
序列号是一个32位的字段,用于标识TCP段中第一个字节的数据的编号。
物联网TCP、UDP、CoAP、LwM2M、MQTT协议简单对比
zize_snail的博客
06-07 684
物联网各协议对比,TCP、UDP、MQTT、LWm2m、Coap
编译原理————词法分析
11-26
编译原理是计算机科学中的一个重要分支,它研究如何将高级语言编写的程序转换成计算机能够执行的机器语言程序。其中,词法分析器是编译器中的一个重要组成部分,它负责将源代码中的字符序列转换成有意义的单词序列,也就是词法单元。 词法分析器通常采用有限状态自动机(Finite State Automaton,FSA)来实现。它将源代码作为输入,逐个字符地读入并进行状态转移,直到识别出一个完整的词法单元。在这个过程中,词法分析器会忽略空格、注释等无关字符,并将识别出的词法单元传递给语法分析器进行下一步处理。 词法分析器的主要任务包括:定义词法单元的类型和模式、实现有限状态自动机、处理错误和异常情况等。在实际编译器中,词法分析器通常由生成器自动生成,开发者只需要定义好词法单元的类型和模式即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值