https
前言
大概的了解https的实现思路以及配置的必要性。
一、https作用?
http明文传输,数据会被劫持,那么破坏者就会篡改,监听,冒充。
https的作用就是防止这些情况的发生。
二、https底层原理
网络传输协议,四层速记,http应用层,tcp 传输层 ,ip网络层,链路层(物理层+数据链路层)。
https加密的协议tls/ssl属于 应用层和tcp层之间,本质https还是属于http进行明文传输,只是对数据进行了加密。
加密细节:
以浏览器客户端和服务器为例:
1、客户端发送请求给服务器,发送协议版本(tls/ssl)/ 随机参数 / 支持的加密方法
2、服务器收到请求后,确认协议版本/ 加密方法/ 随机参数 / CA证书(其实就是服务器公钥)
3、客户端结束握手请求,如果证书是ok的,再加一个随机数,这个随机数使用服务器公钥加密。
4、服务端结束握手请求,根据三个随机数生成通信用的对称秘钥。
解释上面几个疑问点:
1、三个随机数保证了真正的随机。
2、只有第三个随机数是用服务器公钥加密传输的,可以保证安全。(这里用到了非对称加密技术,比对称加密安全)
3、对称秘钥的作用是在保住了安全性的情况下,又保证了传输的效率。因为非对称传输耗费大量计算。
4、其他的,比如一些银行资金相关的,服务端会校验客户端,那么在第2步服务端会需要客户端发送客户端证书。所以在第3步客户端还要发送客户端证书给服务端。
三、https配置
略。现在很方便,直接去相关的网站申请就行(阿里云的话可以直接申请免费的),放到服务器的某个路径下,再去服务器apache或者nginx的ssl模块里放入证书路径信息。一般包括key和crt。
五、常见问题
问题一:https加密后为什么抓包工具能看到明文?
首先要理解抓包工具的原理,抓包工具会替换服务器的证书,从而能得到客户端发送的加密数据的明文、服务器返回的加密数据的明文。另外不用担心这种情况会发生安全问题,因为你的手机不会安装别人给你的证书,要实现抓包,需要在手机浏览器中安装抓包工具的证书并添加信任。
扫一扫
1513
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
