HTTPS简述

最新推荐文章于 2024-07-27 13:31:57 发布
最新推荐文章于 2024-07-27 13:31:57 发布
阅读量94 收藏
点赞数
分类专栏: 新世纪电话线:网络基础 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38289451/article/details/118366864
版权

HTTPS简述

前言

本文总结原地址:写一篇最好懂的HTTPS讲解

传统HTTP

在这里插入图片描述

如上图,在浏览器与服务器的交互下,数据以明文传输。在这种不采取任何措施的情况下,中间的路由节点都会获取到这些节点,有很大的安全问题。

举例

用户登录某个WIFI时,WIFI作为中间的路由节点,可以获取到双方交互的所有信息。

在这种情况下中间路由节点可以对其进行劫持、篡改、监听。

出现的安全问题例如:

  • 中间节点获取到服务器传来的超文本HTML后,对其进行修改,植入恶意html代码,最后返回到浏览器界面上。比如经常会在某些http的网站上看到不属于该网站服务器植入的广告;
  • 由于获取了所有的明文消息,私人信息泄露;
  • 截取用户信息并修改后加入恶意信息,使得服务器出现各种问题;

解决方案:加密

既然数据明文传送会遇到这个问题,那么考虑采用加密的方式。

首先是 对称加密: 浏览器和服务器双方持有相同的 key 值。通过 key 值,仅仅只有双方可以加解密。路由节点无法对其进行任何操作。

问题:如何让双方持有相同的 key 值?

想要传播key值,那么必定会有一个明文传输使得双方拥有统一key值的过程。而既然是明文传输吗,那路由节点就同样可以获取到。所以还是没办法保证安全。

解决方案:首次非对称加密+之后对称加密

在这里插入图片描述

关于密钥对,简单来说就是:

  1. 公钥负责加密与验章
  2. 私钥负责解密与签章

采用密钥对的方式,所有公钥都可以加密信息,但只有私钥可以解密信息。

注意这种方式下就可以获取到对称加密的key值。

流程如下:

  1. 浏览器采用服务器提供的公钥给 key 值进行加密;
  2. 服务器使用私钥进行解密,获取 key 值;
  3. 双方 key 值得到同步,此时便可以继续采用对称加密;

总结:

  • 非对称加密比起对称加密来说更复杂,采用这种首次非对称,之后对称的方式更优
  • 首次通信时,中间路由节点没有私钥,无法进行解密,破译不了key值,所以安全
问题:怎么让浏览器获取到公钥?

这是一个新的问题,如何安全的获取到服务器提供的公钥。单纯通过网络的方式获取公钥,那么还是可能被第三方替换成假的公钥。假的公钥下,第三方用其私钥解密,还是会暴露key值。

解决方案:第三方权威机构(CA机构)

既然可能假冒公钥,就采用第三方。

服务器将自己的公钥还有其他信息交给CA==>CA使用自己的私钥进行签章,返回证书给服务器==》服务器携带证书到浏览器==》浏览器使用CA公钥验章解密,得到key值。

这种方式看似多此一举,因为同样需要保证浏览器获取到正确的公钥,似乎还是不安全。

实际上,可以通过别的方式保证能够获取到正确的公钥:

CA机构比起数不清的网站来说,远远的少。操作系统层面会维护CA机构的公钥,即不通过联网的方式获取公钥,那么就是安全的。而不通过CA的话,服务器的数量如此之多,没办法在操作系统上面完全保存。

在这里插入图片描述

最后一个问题:

第三方也在该CA机构获得了安全证书,并且使用该证书来替换原本服务器提供的证书。此时该数据同样可以被解密。

所以如果只是简单的对公钥进行加解密是不行的,事实上除了公钥外,CA还会要求如网站域名等额外信息进行辅助校验。

辅助校验下,假如证书被替换,也会因为额外信息里面的域名和访问的URL对不上而校验失败。

肃林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简述HTTPS中间人攻击
liuhao9999的博客
03-22 1614
https协议由 http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥。 攻击者截获公钥,保留在自己手上。 然后攻击者自己生成一个【伪造的】公钥,发给客户端。 客户端收到伪造的公钥后,生成加密hash值发给服务器。 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。 同时生成假的加密hash值,发给服务器。 服务器用私钥解密获得假秘钥。 服务器用加秘钥加密传
简述http与https
01-08
超文本传输协议,用于客户端与服务端通信,http通常以明文的方式传递内容,发送的内容很容易被劫持,恶意篡改,因此http协议不能用于传输一些敏感信息,因此需要使用另一种协议:安全套接字层超文本传输协议HTTPS,...
ssh、https简述
qq_30304193的博客
08-03 640
                                             定义简述 异同点 ssh 一种网络协议。用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。 这是一种相对安全的方式 这要求将本地的公钥上传到gitlab中。 http...
简述 HTTPS 握手流程
weixin_50998273的博客
12-30 2444
简述 HTTPS 握手流程 前言 SSL HTTPS 握手流程 前言 HTTPS 是在 HTTP 的基础上加入了 SSL 协议,SSL 是依靠证书来验证服务器的。所以 HTTPS 与 HTTP 最大的区别是 SSL ,那么 SSL 是什么东西呢。HTTPS 又是如何握手的呢? SSL 概念 SSL(全称:Secure Sockets Layer,中文译为:安全套接层)和 TLS(全称:Transport Layer Securty,中文译为:安全传输层)是对网络传输进行加密并保证其数据的完整性。 特点 SS
HTTPS原理简述
博客
02-18 3440
对称加密 双方可以用密钥对信息进行加密解密。 如果client和server之间通信采用对称加密,那么双方需要有同一个密钥。如何让双方都有该密钥?                 假设1:client在请求时将密钥发送给server:第三方可以拦截这个信息从而获得该密钥。如果使用该方法,必须将该密钥加密后, 然后发送给server,并且只能server进行解密。        假设2...
简述HTTPS的工作流程
JJY的博客
12-09 3537
​ 客户端在使用HTTPS与WEB服务器通信时有以下几个步骤: 客户端使用https url访问服务器,则要求web服务器建立ssl连接; web服务器接收到客户端的请求后,会将网站中的证书(证书中包含了公钥),传输给客户端; 客户端和web服务端开始协商SSL连接的安全等级; 客户端浏览器通过双方协商一致的安全等级,建立会话密钥,然后通过网站的公钥来加密会话密钥,并传送给网站; web服务器通过自己的私钥解密出会话密钥; web服务器使用会话密钥来加密与客户端之间的通信。 ...
简述http和https区别
PuuuT的博客
09-04 925
http协议和https协议的区别主要是:传输信息安全性不同、连接方式不同、端口不同、证书申请方式不同
https的加密过程简述
阳光下的冷静的博客
06-14 1204
https加密过程
简述http与https的区别
weixin_48329549的博客
09-28 342
简述http与https的区别 https协议需要申请证书。 http是明文传输,https是具有安全性的ssl加密传输协议。 http端口是80,https端口号是443。 http连接简单无状态,https由ssl+http协议构件的可进行加密传输身份验证的网络协议。 ...
Handler简述
smallfatman的博客
04-25 513
Handler一、什么是Handler二、为什么需要Handle三、Handler的工作机制简述2.MessageQueue3.Looper 一、什么是Handler *Handler 是SDK中处理异步消息的核心类。 主要接受子线程发送的数据, 并用此数据配合主线程更新UI。 作用:可以用于更新UI (但不仅仅是这一个)* Handler不仅可以完成主线程与子线程之间的通信,也可以做到子线程与子...
用例简述1
08-08
为了确保用户数据安全,系统需采用HTTPS协议进行通信,保证信息传输的加密性,并在服务器端存储用户敏感信息时进行加密处理。 用户在登录后,可以查看股票信息,这需要后台对接实时的股票数据源,如证券交易所的API...
Logistic回归模型简述.docx
10-12
Logistic 回归模型简述 Logistic 回归模型是 Machine Learning 中的一种常用算法,用于解决二分类问题。该模型可以将输入特征转换为概率输出,表示某个事件发生的可能性。 Logistic 回归模型的 Mathematically ...
简述mysql监控组复制
01-19
原文:https://dev.mysql.com/doc/refman/8.0/en/group-replication-monitoring.html 译者:kun 最近在翻译MySQL8.0官方文档 本文是第18.3“监控组复制”部分。 1.监控组复制 假设MySQL已经在启用了性能模式的情况...
微信小程序进行微信支付步骤简述
03-29
https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=7_3&index=1 小程序支付步骤: 1,预支付 2,根据预支付数据+签名——>发起支付 3,支付回调 下面对这3个步骤进行简单描述: 1,预支付。该
golang 接口
m0_70982551的博客
07-24 894
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 476
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 589
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 563
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
简述tomcat服务器
05-12
Tomcat服务器也可以被用作独立的Web服务器,它支持HTTP、HTTPS、FTP等协议,可以通过配置文件进行灵活的设置和管理。同时,Tomcat服务器还支持集群和负载均衡等高级功能,可以满足大型Web应用程序的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值