【http】https协议

最新推荐文章于 2024-07-29 11:12:23 发布
最新推荐文章于 2024-07-29 11:12:23 发布
阅读量145 收藏 1
点赞数
分类专栏: 网络 文章标签: https http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37012965/article/details/128803919
版权

http + 加密 + 认证 + 完整性保护 = https(http Secure )

http 协议中没有加密机制,但可以通 过和 SSL(Secure Socket Layer, 安全套接层 )或 TLS(Transport Layer Security, 安全层传输协议)的组合使用来加密 http 的通信内容。

为什么需要 https

http 存在以下缺陷:

  • 通信使用明文(不加密),内容可能会被窃听。
  • 不验证通信方的身份,因此有可能遭遇伪装。
  • 无法证明报文的完整性,所以返回结果有可能遭篡改。

https 是为了弥补 http 的不足而设计的,期望达到以下效果:

  • 所有信息加密通信,第三方无法窃听。
  • 具有校验机制,一旦信息被篡改,双方会立刻发现。
  • 身份认证,防止身份被冒充。

https 如何实现加密通信

本质上是通过非对称加密传递一个供对称加密使用的会话秘钥

  • 服务器有一个公钥和一个私钥,用于非对称加密。
  • 客户端生成一个会话秘钥,用服务器的公钥加密后发送给服务器。
  • 服务端收到加密后的会话秘钥后用自己的私钥解密出真实的会话秘钥
  • 双方都获得了会话秘钥,后续的通信用这个会话秘钥进行对称加密

连接阶段是为了安全传递会话秘钥,采用非对称加密算法。

连接完成后就可以用会话秘钥,采用对称加密算法实现加密通信。

https 连接过程

  1. 客户端发送协商请求给服务端,包含自己支持的加密算法等信息。
  2. 服务器收到协商请求后,给客户端返回选定的加密算法、服务器证书(包含公钥)等信息。
  3. 客户端收到响应后生成随机字符串作为会话秘钥,通过协商好的非对称加密算法,用服务器公钥对该字符串加密并发送给服务端。
  4. 服务端用自己的私钥解密得到会话秘钥。

https 协议的不足

  1. 增加加解密过程、增加额外传输内容(证书),影响访问速度。
  2. 证书需要认向证机构付费获得。
  3. 整个页面的请求都要使用 https。

Q&A

如何保证服务器公钥不被篡改?

一个服务器对应一个证书,证书中包含公钥。

客户端检查服务端证书,公钥在证书中,只要证书是可信的,公钥就是可信的。

证书如何安全传输?假如证书在传递过程中被篡改?

服务器证书由有公信力的证书签发机构(CA)签发。

CA 根据网站提供的个人信息和公钥用 hash 算法生成消息摘要,它的私钥对消息摘要加密,形成证书签名保存在证书中。

客户端收到服务器证书后执行以下操作判断证书是否被篡改:

  • 用同样的 hash 算法(证书中有)和证书内包含的个人信息和公钥再次生成消息摘要
  • 用 CA 的公钥(证书中有)对证书中的证书签名解密得到证书内的消息摘要

将两次生成的消息摘要进行对比就能知道证书是否被篡改了。

客户端(浏览器)如何判断服务器证书是可信机构颁布的?

NSS 根证书库是一个开源的根证书库。

  • 在 windows 平台中,微软有专门的根证书库。
  • 在 Linux 平台中,软件和服务一般使用 NSS 根证书库。
  • 在苹果平台中,也有专门的根证书库。

chrome 浏览器在 windows 系统中使用 windows 可信任根证书库,在 Unix 系统中使用 NSS 可信任根证书库。

详情参见:windows 中如何让 chrome 信任自签名证书?

参考

一个故事讲完 https

https 百度百科

windows 中如何让 chrome 信任自签名证书?

锋利的绵羊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络之“数据加密、报文完整性、端点鉴别”
helolizi710的博客
07-31 811
技术源于现实需求,从现实需求出发思考技术的意义和组成,是深刻理解技术的起点。个人认为,认识这一点甚至比简单掌握技术内容本身更加重要。
详解HTTP协议HTTPS协议
qq_64580912的博客
06-19 9868
HTTP (全称为超文本传输协议",英文) 是一种应用非常广泛的超文本的解释:所谓超文本指的是传输的内容不止是文本内容(html,css),还可能是一些其它资源,如音频,图片,视频等HTTP是基于TCP协议的一种应用层协议,无论是哪个应用实现实现(不一定非要浏览器),只要按协议规定的格式完成数据的编码与解析编码完成后通过socket api发送出去,接收到数据之后再按规定的格式去解析就可以了。
HTTP/HTTPS协议详解
m0_63635730的博客
05-19 3772
HTTP/HTTPS协议详解
HTTPHTTPS协议
匠人精神,持之以恒!
07-02 9720
一、HTTPHTTPS介绍 HTTP是超文本传输协议,全称“Hyper Text Transfer Protocol”,是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。 HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全 HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全
网络协议---httphttps
qq_51100183的博客
10-12 457
httphttps的基本概念 什么是http协议 http是互联网上应用最为广泛的 一种网络协议,是一个客户端和服务器请求和应答的标准(TCP) 用于从www服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 超文本传输协议是互联网上应用最为广泛的一种网络协议 所有的www文件都必须遵守这个标准。设计http最初的目的是为了提供一种发布和接收html页面的方法。 http协议一般用于B/S架构。浏览器作为http客户端通过url想http服务端即web服务器发送所
HTTPSHTTP2协议分析
02-25
在介绍HTTPS协议如何解决两大安全问题前,我们首先了解几个概念。数字证书数字证书是互联网通信中标识双方身份信息的数字文件,由CA签发。CACA(certificationauthority)是数字证书的签发机构。作
HTTPS协议研究 中文WORD版
11-02
**HTTPS协议详解** HTTPS,全称为Hypertext Transfer Protocol Secure,是一种网络安全协议,它结合了HTTP(超文本传输协议)和SSL/TLS(安全套接层/传输层安全)技术,用于在互联网上传输加密的数据,确保用户与...
HTTP协议详解_HTTP协议_
10-02
安全性方面,HTTPSHTTP over TLS/SSL)提供了加密通信和身份验证,保障了数据传输的安全性。证书和SSL/TLS协议用于建立安全的连接。 总结起来,HTTP协议是互联网的基础,它规定了客户端和服务器之间的通信规则,...
HTTP协议.zip_HTTP_HTTP协议
07-15
HTTPSHTTP的安全版本,通过SSL/TLS协议实现加密和身份验证。SSL/TLS确保数据在传输过程中不被窃取或篡改,同时保证服务器的身份可信。 1. **证书与公钥基础设施(PKI)**: 服务器需要拥有由受信任的证书颁发机构...
HttpHttps 的区别(图文详解)
栗筝i的博客
07-22 2349
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式。
Python 和 Boto3 生成 Amazon S3 对象的 HTTPS URL
TechEnthusiast的博客
07-25 242
在使用 Amazon S3 存储服务时,我们经常需要获取存储桶中对象的 HTTPS URL。这篇博文将详细介绍如何使用 Python 和 Boto3 库来实现这一功能。
内网对抗-隧道技术篇&防火墙组策略&HTTP反向&SSH转发&出网穿透&CrossC2&解决方案
siu~
07-24 875
1、C2/C2上线-CrossC2插件-多系统平台支持 2、隧道技术篇-应用层-SSH协议-判断&封装&建立&穿透 3、隧道技术篇-应用层-HTTP协议-判断&封装&建立&穿透
HTTP传输下载和P2P传输下载的区别?
Nove1205的博客
07-25 505
HTTP传输下载和P2P(Peer-to-Peer)传输下载的区别
05 HTTP & Tomcat & Servlet
weixin_62504976的博客
07-22 1218
HTTP概念HyperText Transfer Protocol,超文本传输协议,规定了浏览器和服务器之间数据传输的规则数据传输的规则指的是请求数据和响应数据需要按照指定的格式进行传输如果想知道具体的格式,可以打开浏览器,点击F12打开开发者工具,点击Network来查看某一次请求的请求数据和响数据具体的格式内容在浏览器中如果看不到上述内容,需要清除浏览器的浏览数据。chrome浏览器可以使用ctrl+shift+Del进行清除所以学习HTTP主要就是学习请求和响应数据的具体格式内容。
使用HTTP代理IP詳細教程-okeyproxy
ecommerce_Amazon的博客
07-25 494
使用HTTP代理IP詳細教程。
http了为何还要用socket通讯
全栈开发的博客
07-24 844
因此,‌虽然HTTP已经足够处理简单的信息获取任务,‌但在需要双向通信、‌实时数据交换、‌服务器主动推送消息等场景下,‌WebSocket提供了更优的解决方案。‌例如,‌在线聊天应用、‌实时股票价格更新、‌多人在线游戏等,‌这些应用都需要WebSocket来实现实时、‌双向、‌安全的数据交换12。‌总的来说,‌虽然HTTP和WebSocket都是基于TCP协议的,‌但它们各自的优势和适用场景不同。‌HTTP适合简单的信息获取任务,‌而WebSocket则更适合需要实时、‌双向通信的复杂应用场景。
FastDDS中的线程梳理
最新发布
u010378559的博客
07-29 383
Fast DDS中的线程梳理和代码分析,详解
TCP请求如何获取客户端真实源IP地址
ajax_beijing_java的博客
07-29 334
针对四层的TCP请求(TCP监听器),可以通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块,需要在ELB后端主机中安装TOA插件,以实现后端主机可获取客户端真实源IP地址的目的。c. 编译过程若未提示warning或者error,说明编译成功,检查当前目录下是否已经生成toa.ko文件。假如提示信息中包含“TOA: toa loaded”,则证明内核模块已经加载成功。f. 以下步骤是以Ubuntu、Debian环境为例,进行编译环境准备。主备、集群模式资源池列表见。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 352
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
http协议 https协议
07-09
HTTP(Hypertext Transfer Protocol)协议是一种用于传输超文本数据的应用层通信协议,主要用于客户端(如浏览器)与服务器之间的数据交互,例如请求网页内容、提交表单等。它是一个无状态协议,每个请求都是独立的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值