HTTPS

已于 2023-06-14 19:50:39 修改
阅读量434 收藏
点赞数 1
分类专栏: 操作系统和网络 文章标签: https 网络协议 http
于 2022-11-15 18:12:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67683346/article/details/127866960
版权

一、HTTPS是什么

HTTPS也是一个应用层协议,是在HTTP协议的基础上引入了一个加密层。

由于HTTP协议内容一般都是本文方式明文传输的,这就导致它在传输过程中会出现被篡改的情况。

经典案例就是万恶的“运营商劫持”!

除了运营商可以劫持,一些黑客也可以通过类似的手段进行劫持,从而窃取用户隐私信息,或者篡改内容,为了解决这些问题,于是就引入了HTTPS协议。

HTTPS就是在HTTP的基础上进行加密来保证用户的信息安全。

加密的相关概念

明文:要传输的信息。

密文:对明文进行某些加密算法后产生的文字。

加密:就是把明文通过一系列变换后生成密文。

解密:把密文还原为明文

密钥:在加密或者解密的过程中,往往需要一个或多个中间的数据来辅助进行这个过程,这样的数据被称为密钥。

加密的方式有很多,整体可以分为对称加密和非对称加密。

对称加密:通过一个密钥进行加密和解密,最简单的对称加密方式就是进行异或操作。

非对称加密:通过一个“公钥”和一个“私钥”进行加密和解密。非对称加密虽然更安全,但它最大的缺点是运算速度比较慢。

二、HTTPS的工作过程

1、引入对称加密

引入对称加密后,即使请求被黑客截获,黑客没有密钥,也无法知道请求的真实内容。

但一个服务器要服务很多个客户端,每个客户端的密钥都必须是不同的(如果每个客户端的密钥都一样,那么黑客也就能拿到密钥了) ,这样一来,服务器就需要维护每个客户端和其对应密钥的关联关系,这样做会比较麻烦。

更好的做法是,在客户端和服务器建立连接的时候,双方约定好这次的密钥是什么。

但如果直接明文传输密钥,那么黑客也能拿到密钥,后续的操作也就没有意义了。

因此密钥的传输也需要进行加密,如果一直这样加密下去的话就变成了“先有鸡还是先有蛋”的问题了。

因此就需要引入非对称加密

2、引入非对称加密

非对称加密的公钥是所有人都能拿到的,但是私钥只是服务器才持有的。

通过公钥对明文进行加密得到密文,而只有通过私钥对密文进行解密才能得到明文。

但是道高一尺,魔高一丈,黑客又想出了“中间人攻击”的方式:

黑客相对应客户端来说,把自己伪装成服务器;相对于服务器来说,把自己伪装成客户端,从而获取到每次请求和响应的真实内容并进行篡改。 

3、引入证书

破解“中间人攻击”的方式就是识别出服务器返回的公钥是否是被黑客伪造的公钥,于是就有了“证书”。

在客户端和服务器刚建立连接的时候,服务器返回给客户端一个证书,证书中包含了公钥和网站的身份信息,当客户端获取到证书后,就会对证书进行校验,防止证书是黑客伪造的。

(证书自身有一些校验机制,黑客想要篡改证书,很容易被浏览器识别出来)

浏览器如果发现证书有问题,就会弹窗提示该网站证书不完全,阻止用户继续访问。

吃点橘子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
http网站怎么配置https防劫持
sevn77777的博客
11-23 1030
HTTPS相比HTTP,在请求开始之前增加了握手的环节,在进行SSL握手时,客户端浏览器会对服务器的身份进行验证,这是通过SSL证书来实现的,SSL证书是由第三方权威机构CA颁发,通俗一点来说就是网站的“身份证”,浏览器需要对“身份证”进行验证来确认服务器的身份,确认证书是否属于目标网站、确认证书是否有受信任机构所颁发等。在握手环节的最后,客户端和服务器还会协商出一个用于加密和解密的通讯密钥。 如何解决网站http被劫持的问题 获取HTTPS证书: ①、搜索“蜗牛证书”,或者直接打开链接:h.
HTTPS劫持
weixin_45363315的博客
07-15 3195
HTTPS劫持 https劫持分为代理劫持和透明劫持。 一、代理劫持https 这种https代理劫持在我们平时是用的很多的,比如Burp suite和Fiddler启动代理服务器,浏览器配置一个代理就可以抓包进行调试、漏洞测试了。 1.1必备知识 1.1.1 SNI 其中SNI包含了在ClientHello中,在TLS(SSL的升级版)开始支持设置 Server Name(网站的域名)。因为现在一个https服务器可能存在多个域名,而在 TLS 握手信息中并没有携带客户端要访问的目标地址,则无法确定该和那
如何劫持https的请求
缓月
03-19 5825
黑客用自己的证书+自己的域名 证书劫持+用自己的域名 域名劫持+自己的证书 DNS域名劫持+证书劫持 域名入侵 中间人证书欺骗攻击 httpsStrip 黑客用自己的证书+自己的域名 方法描述: 黑客精心做一个类似于qq.com的网站: oq.com, 并且给自己的网站申请https证书。粗心的用户打开这个长得很像qq.com的网站时,看到浏览器中亮起了绿色的小锁,误以为是安全的qq网站。 这...
HTTPS中间人攻击,HTTPS被抓包了怎么办?
热门推荐
ThinPikachu的博客
03-12 1万+
目录 一、写在前面 二、什么是中间人攻击 三、https 是绝对安全的吗 四、中间人攻击的初步了解 五、中间人攻击的深入了解 六、https 是如何防止中间人攻击的 SSL-Pinning 七、浏览器是如何确保CA证书的合法性? (1)证书包含什么信息? (2)证书的合法性依据是什么? (3)浏览器如何验证证书的合法性? 八、https 可以抓包吗 九、预置证书/公钥更新问题 一、写在前面 首先,当个位读者在看到这篇文章时,我默认大家已经对...
让各大运营商都默默流泪的 HTTPS 协议(HTTPS 的加密流程)
一些普普通通的学习笔记
11-11 320
在之前的文章中我们介绍了 HTTP 协议, 随着互联网的不断发展, 有越来越多的 “坏人”, 钻网络的漏洞来牟利.HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的.HTTPS 是在 HTTP 的基础上加入了 SSL, 可以简单将它理解成 HTTP 协议的安全版(不谈细节). 所以我们讲过的 HTTP 相关的知识, 在 HTTPS 中同样有效.
https-repo.tar.gz
07-15
标题中的"HTTPS-REPO.TAR.GZ"指示了这是一个与HTTPS相关的软件仓库压缩包,它可能包含用于配置OpenStack安全策略的组件或脚本。HTTPS(Hypertext Transfer Protocol Secure)是一种通过Internet传输数据时保证安全性...
java 发送https get请求工具类
08-22
java 发送https get请求工具类
https权威指南
05-12
https权威指南 在服务器和WEB应用上部署SSL TLS和PKL 高清 电子书 下载 pdf [(英)LVAN RISTIC著;杨洋,李振宇,蒋锷,周辉,陈传文译][人民邮电出版社][2016.09][418页]sample.pdf
GET请求https,post请求https
09-05
在互联网通信中,HTTPS(Hypertext Transfer Protocol Secure)是一种基于HTTP协议的安全版本,主要用于确保数据传输过程中的安全性。HTTPS通过使用SSL/TLS协议来加密通信,保护用户隐私和数据完整性,防止中间人...
Https请求工具类,Java实现http请求,https请求
最新发布
12-14
Https请求工具类,Java实现http请求,https请求 本篇文章将详细介绍如何使用Java语言实现HttpHttps请求的工具类,包括如何建立Https连接、如何实现Post请求、如何处理SSL验证等内容。 在Java中,使用...
https插件.rar
05-22
HTTPS,全称HyperText Transfer Protocol Secure,是一种基于HTTP协议的安全通信协议,用于在客户端和服务器之间传输加密数据,确保了网络通信的隐私性和完整性。它通过使用SSL/TLS(Secure Sockets Layer/Transport...
phpcms支持https
04-12
【PHPcms支持HTTPS详解】 PHPcms是一款流行的开源内容管理系统,被广泛用于构建各类网站。随着互联网安全性的不断提升,HTTPS已经成为网站必备的安全协议,为用户提供加密的传输和身份验证。本篇将详细介绍PHPcms...
易语言https模块.rar
01-24
而"易语言https模块"则是专门为易语言开发的一个扩展模块,旨在帮助易语言用户实现HTTPS协议相关的功能。 HTTPS,全称Hypertext Transfer Protocol Secure,是一种在互联网上应用广泛的安全通信协议,主要用于保护...
linux c++实现https
04-19
linux c实现简单的https获取百度一下("www.baidu.com"), 忽略证书。 linux下编译: g++ https.cpp -lssl -lcrypto
curl 不支持https解决方法
01-13
curl 不支持https 请求 windows系统file_get_contents返回false远程phpstudy
https证书劫持是什么意思
蔚可云的博客
10-08 1208
每个专业都有自己的专有名词,如果自己对这个专业不是特别的了解,那么就不了解这个专有名词的意思。尤其是对互联网知识来说,多少人都基本上不懂,所以才更需要去学习,然后自己在浏览的时候遇到任何的问题才能在不求助别人的情况下自己做出合理的判断。这一次我们学习一下什么是https证书劫持,对于这个问题了解之后,就会知道我们在浏览器发生什么情况的时候见过,而这些网站最后的安全性高不高。 1.网页劫持是什么意思 在生活中看到这两个字,肯定是往坏处想,是人被劫持,还是东西被劫持,而遇到劫持之后我们只能放弃自己的财产保证
升级https - 解决系统被网络运营商植入广告等问题
铁锚的CSDN博客
02-22 3163
情景回顾 福建泉州的客户反馈, 说系统使用不正常, 经常提示 “网络错误”, 或者点击某些按钮时会进行页面跳转。 让客户试过各种“万能”手段: 比如清缓存, 换浏览器, 换电脑等等,问题依然会复现。 通过QQ远程桌面连接客户的电脑, 使用浏览器的Network控制台, 看到监控信息中莫名出现的加载内容, 如下图所示: 怀疑是客户所使用的宽带运营商存在网页劫持和篡改行为。 让客户换运营商有点不太现...
为何各大网站启用HTTPS?运营商做了“好事”
CTO_ZhangHui_的博客
04-20 1245
真的是好事,不加引号的好事。 你可能没有注意到,用百度搜索时,浏览器地址栏里的 http 已经成为永远的过去时,接棒的是更安全的 https。这家中国最大的搜索引擎,于2015年3月份做出了一个重要的决定——全站强制启用 https 连接。此时距离 Goole 做这件事,过去了1年半。 无独有偶。同年10月14日,杭州云栖大会上,阿里巴巴宣布旗下电商平台已实现全站 https。环球网的报道称,
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5632
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
HTTPS安全深度解析与实战
"HTTPS权威指南(完整版)" 本书是对HTTPS技术的全面解析,由Web应用防火墙领域的专家根据阿里巴巴的一线实践经验编写,旨在提升网页数据通信的安全性。书中涵盖了以下核心知识点: 1. **密码学基础**:基础的密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃点橘子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值