CA根证书——https安全保障的基石

最新推荐文章于 2024-08-02 19:38:03 发布
最新推荐文章于 2024-08-02 19:38:03 发布
阅读量988 收藏 25
点赞数 25
文章标签: https 安全 iphone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/139880873
版权

HTTPS通信中,服务器端使用数字证书来证明自己的身份。客户端需要验证服务器发送的证书的真实性。这就需要一个可信的第三方机构,即CA,来颁发和管理证书。CA根证书是证书颁发机构层次结构的顶级证书,客户端信任的所有证书都可以追溯到这个根证书。通过验证服务器证书的签发机构链条中的各个证书,客户端可以确保服务器证书的真实性,从而建立起信任关系。

首先需要知道为何http不安全?

  1. 数据加密:

    • HTTP传输的数据是明文的,即未经加密的,这意呈现了安全隐患。例如,在使用公共Wi-Fi连接时,黑客可以通过网络嗅探工具轻松拦截并查看HTTP传输的数据,包括登录凭据、个人信息等。
    • HTTPS通过SSL/TLS协议对传输的数据进行加密,使得黑客无法直接读取数据内容。SSL/TLS使用对称加密和非对称加密相结合的方式,保障了数据的安全性。

  2. 数据完整性保护:

    • HTTP传输的数据在传输过程中容易受到篡改。黑客可以中间人攻击(Man-in-the-Middle Attack),在传输过程中修改数据,篡改网页内容或注入恶意代码。
    • HTTPS通过数字证书和数字签名来验证网站的身份,并保证数据在传输过程中不会被篡改。数字证书由权威的证书颁发机构(CA)颁发,用于验证网站的身份,并确保通信双方之间建立了安全的连接。

  3. 身份验证:

    • HTTP无法验证网站的身份,使得用户很难确认他们正在访问的网站是否是真实的,容易受到钓鱼网站(Phishing)的攻击。
    • HTTPS通过数字证书验证网站的身份,确保用户连接到的是正确的网站,而不是伪装的钓鱼网站。

HTTPS也是建立在TCP的基础上的

HTTPS实际上是在HTTP之上添加了SSL/TLS协议层,以提供安全性。因此,HTTPS可以被视为HTTP的加密版本。在HTTPS中,HTTP协议负责定义请求和响应的格式,而SSL/TLS协议负责在通信过程中对数据进行加密和身份验证。

简而言之,HTTPS = HTTP + SSL/TLS。HTTPS在HTTP的基础上增加了安全性,使得数据传输过程更加安全可靠。

无论是HTTP还是HTTPS,它们都是通过TCP来传输数据的。HTTPS只是在HTTP的基础上添加了SSL/TLS协议来保证数据传输的安全性。SSL/TLS协议位于HTTP和TCP之间,它在建立TCP连接之后,在HTTP数据传输之前对数据进行加密和认证。因此,HTTPS的数据传输过程可以简单概括为:

  1. 建立TCP连接:客户端和服务器之间通过TCP建立连接。
  2. SSL/TLS握手:客户端和服务器之间进行SSL/TLS握手,协商加密算法、生成密钥等操作,确保双方能够安全地进行通信。
  3. 安全数据传输:经过SSL/TLS握手成功后,客户端和服务器之间的数据传输就变成了加密的,保证了数据的安全性。
  4. 终止连接:数据传输完成后,TCP连接被终止。

所以,虽然HTTPS在HTTP的基础上增加了安全性,但是它们都是基于TCP协议来传输数据的。

底层是对每一个tcp连接后的信道进行了加密

实际上,HTTPS在建立TCP连接之后,对每一个TCP连接中的通信信道进行了加密。具体来说,SSL/TLS协议在建立连接后会进行握手阶段,这个握手阶段包括以下几个步骤:

  1. 协商加密算法: 客户端和服务器协商选择加密算法、摘要算法、密钥交换算法等加密相关参数。
  2. 数字证书验证: 服务器向客户端发送数字证书,客户端验证证书的合法性,包括验证证书的颁发者、有效期等信息。
  3. 生成会话密钥: 客户端使用服务器的公钥加密生成会话密钥,并发送给服务器。
  4. 数据加密: 双方使用会话密钥对通信数据进行加密和解密。

在建立了加密通道后,客户端和服务器之间的所有数据传输都会通过这个加密通道进行加密和解密,从而保证了数据的机密性和完整性。因此,HTTPS确实对每一个TCP连接后的通信信道进行了加密。

SSL根证书(CA根)的作用?

SSL根证书(Root Certificate)是SSL/TLS证书体系中的最高级别的证书,它由信任的证书颁发机构(Certificate
Authority,CA)颁发,并且被广泛信任和内置到操作系统和浏览器中。

SSL根证书的主要作用包括:

  1. 验证服务器身份: SSL根证书用于验证服务器证书的真实性。服务器证书通常由中间证书颁发机构(Intermediate Certificate Authority)签发,而中间证书颁发机构的证书则由根证书颁发机构签发。通过验证服务器证书的签发者链中的所有证书,客户端可以确信自己正在连接到的服务器是真实可信的。

  2. 建立信任链: SSL根证书是信任链的根节点,它建立了一个信任链,使得从服务器证书到根证书的整个颁发链都是可信的。客户端在验证服务器证书时会沿着这个信任链逐级验证,如果任何一个环节出现问题,都会导致证书验证失败。

在SSL/TLS握手过程中,客户端会收到服务器发送的证书,客户端使用其内置的信任的根证书来验证服务器证书的真实性。如果服务器证书可以由客户端信任的根证书颁发机构(CA)签发,则通信继续;否则,通信将被终止。一旦服务器证书被验证为合法,客户端使用其中包含的公钥来加密一个随机生成的会话密钥,并将其发送给服务器。服务器使用其私钥解密客户端发送的会话密钥,从而确保只有服务器能够获得会话密钥,进而保障通信的安全性。(公钥加密是否只有利用对应的私钥才能解密)

总之,SSL根证书的作用是确保服务器的真实性,建立信任链。

SSL根证书存在哪里?

SSL根证书通常存储在客户端设备或应用程序的信任存储区域中。这些存储区域由操作系统或应用程序管理,用于存放信任的根证书和中间证书颁发机构的证书。SSL根证书的具体存放位置可能因操作系统和应用程序而异。

一般来说,SSL根证书可能存在以下位置:

  1. 操作系统信任存储区域: 操作系统(如Windows、macOS、Linux等)通常会维护一个信任的根证书存储区域,用于存放根证书和中间证书颁发机构的证书。这些根证书会被操作系统的网络安全功能使用,以验证SSL/TLS连接中服务器证书的真实性。

  2. 浏览器信任存储区域: Web浏览器(如Chrome、Firefox、Edge等)也会维护一个信任的根证书存储区域,用于存放根证书和中间证书颁发机构的证书。浏览器会使用这些根证书来验证SSL/TLS连接中网站的证书。

  3. 应用程序内置存储区域: 某些应用程序可能会内置自己的根证书存储区域,用于存放信任的根证书和中间证书颁发机构的证书。这些应用程序可能是网络通信相关的应用,如电子邮件客户端、VPN客户端等。

SSL根证书的存放位置可能因操作系统和应用程序而异,但它们都被认为是安全可信的,并且用于验证SSL/TLS连接中服务器证书的真实性。

流程如图

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的无语强
关注
  • 25
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
图解HTTP协议——数据通信的基石
禅与计算机程序设计艺术
09-20 2717
互联网及其周边技术的飞速发展已经使得计算机网络技术迅速成为一种基础设施。作为信息通信基础设施的一部分,HTTP协议已经成为事实上的国际标准协议。但是对于像我这样一名工程师而言,理解HTTP协议背后的一些基本概念、术语和算法原理仍然十分重要。因此,我选择写一篇《图解HTTP协议——数据通信的基石》,试图通过一些具体的例子,帮助读者快速理解HTTP协议背后的数据流动机制、协议模型、报文结构、状态码等基础知识。本系列文章共分为六章,第一章从宏观的角度对互联网及互联网技术发展进行介绍;
HTTPS:tokenpocket钱包官网下载安全网络通信的基石进入——{TP9.app}
2401_84941960的博客
05-27 235
HTTPS依赖于SSL证书颁发机构(CA)来签发和验证网站的SSL证书,建立了一个信任链。浏览器内置了一组受信任的CA证书,用于验证SSL证书的有效性。总的来说,采用HTTPS可以提高网络通信的安全性和可信度,对保护用户隐私和数据安全起着至关重要的作用。因此,对于需要保护敏感信息的网站和应用来说,采用HTTPS是非常重要且必要的。:HTTPS使用SSL证书对网站进行身份验证,确保用户与正确的网站建立连接,防止中间人攻击。采用HTTPS可以提升网站在搜索结果中的排名,增加网站的曝光度和信任度。
计算机网络7——网络安全3 互联网使用的安全协议
ning_xiao_xuan的博客
06-03 1102
计算机网络7——网络安全3 互联网使用的安全协议
哈工大密码学实验CA
weixin_45937957的博客
12-19 5644
哈工大密码学实验CA系统java实现
关于加密、http、https、SSL、CA证书颁关机构一些联系
yiguang_820的博客
05-24 448
一.密码和密钥有何区别? 在密码学中,密钥是加密算法中的参数,如公钥、私钥,秘钥对(公钥、私钥);而密码是生活中用于证明身份的一个字符串而已,也叫口令(password),起验证作用 二.加密到https 非对称加密(不一定就是公钥加密,私钥解密) ras加密 公钥加密,私钥解密 数字签名 私钥加密,公钥解密 证书颁发机构ca http->httpshttps=http+SSL/TLS 三.聊聊HTTPS和SSL/TLS 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识
【博否安全】从加密算法到CA认证——数字认证技术学习笔记(一)
Geoff Blog
10-18 915
目录缩略词表数据加密技术非对称加密和数字签名1、非对称加密(公钥加密)2、数字签名与数字验签(私钥加密)证书的作用数字证书的格式1、证书版本号(Version)2、证书序列号(Serial Number)3、签名算法4、 颁发者(Issuer)5、有效期(Validity)6、主题:该证书时颁发给谁的,即证书持有者的名称。7、证书持有者公开密钥信息:证书持有者的公钥信息。CA签名过程通信双方相互验...
信息安全导论期末复习笔记(教材——《计算机网络安全教程》)
2301_77729899的博客
12-12 2393
这是某学校信息安全导论课程的课程笔记,课程内容包含对常见网络安全技术的概述,课程教材为《计算机网络安全教程》
数字证书详解
无线网络系统研究
04-09 1830
数字证书,X.509,CA,TLS
Http——HTTPS和SSL/TLS协议
见证自己的成长之路~
11-12 1022
要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识。 1. 大致了解几个基本术语(HTTPS、SSL、TLS)的含义 2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接”) 3. 大致了解加密算法的概念(尤其是“对称加密与非对称加密”的区别) 4. 大致了解 CA 证书的用途 考虑到很多技术菜鸟可能不了解上述背景,俺先用最简短的文字描述一下。如果你自认
快速将网站从HTTP升级为HTTPS
ABCDEFK1234的博客
08-02 191
快速将网站从HTTP升级为HTTPS
利用HttpServlet完成MySql数据库my_user表的登录校验
xjdkxnhcoskxbco的博客
08-02 126
功能:利用HttpServlet完成MySql数据库my_user表的登录校验。step1:在porm.xml文件中导jdbc的依赖。main函数下java包的class类。maven官网中搜索:mySQL。并复制依赖粘贴到pom文件中。maven官网网址;mysql数据库输入。查询当前的数据库版本。
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 455
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 421
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 179
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
鸿蒙系统开发【ASN.1密文转换】安全
最新发布
2301_76813281的博客
08-02 209
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 383
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
云原生安全检测工具(容器安全、trivy、veinmind-tools)
墨痕诉清风的博客
07-31 559
例如上文的 mysql:5.7 镜像,在扫描镜像包含的 openssl 库时,会据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值