HTTPS网站为什么值得信赖

最新推荐文章于 2021-09-30 14:48:55 发布
最新推荐文章于 2021-09-30 14:48:55 发布
阅读量188 收藏
点赞数 1
分类专栏: Some meaningful 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/run_youngman/article/details/119150882
版权

初识HTTPS

https协议的诞生,是为了解决http传输信息不安全的问题。https不是一个独立于http的协议,而是基于http协议,套了一层TLS协议的外壳,TLS的前身是更为人熟知的SSL协议,与1999年被推出1.0版本并正式替代当时的SSL3.0

我们平时使用的大部分网站都已经升级为https了,大家都知道https更安全(网站前面会出现一把小锁),但是他为什么安全呢,他的安全是绝对安全吗,有没有可能仍然存在信息泄露?

在这里插入图片描述

HTTPS的实现过程

下面,让我们一起走进HTTPS的内心世界。对网站的请求进行抓包,这里看到的是TLS1.2,有时也叫作SSL3.2

在这里插入图片描述

可以发现,访问https服务器时,客户端会发送Client Hello报文开始与服务器通信(TCP连接之后),打开报文详情,可以知道本地发送的内容主要是客户端自身所支持的加密算法以及一个随机数。

在这里插入图片描述

服务器在收到客户端发送的消息后,会返回一个Server Hello报文,其中包含了一个随机数以及服务器选择的通信加密组件(这个组件肯定在客户端支持的组件中),注意Cipher Suite这个字段,密钥交换算法,他选择了ECDHE,加密算法选择AES,创建报文摘要的算法选择了SHA256

在这里插入图片描述

紧接着,服务器端会向客户端发送证书,如下图所示:第一个证书是网站的证书,第二个证书,则是网站证书颁发机构的证书。

在这里插入图片描述

此时服务器端发送给客户端的还有一个Server key exchange,值得注意的是,因为之前已经收到了证书,如果使用RSA来进行握手,是可以证明服务端是否有证书对应的私钥的,客户端只需要发送公钥加密的密钥即可与使用RSA实现握手不同,ECDHE方式,证书对应的私钥并不会参与密钥的协商,所以,为了证明服务器拥有证书,需要进行签名操作。由此也可以得出使用RSA实现握手,是不需要发送Server key exchange报文的。
在这里插入图片描述

通过上图可知,使用EC Diffie-Hellman密钥交换算法,并且发送了DH算法的协商公钥给到客户端,随后发送Server Hello Done报文。

来而不往非礼也。客户端通过签名验证了服务端身份后,会发送EC Diffie-Hellman算法的协商公钥给服务器,紧接着客户端发送Change Cipher Spec报文,表示后面传送的数据将采用新的加解密参数,然后发送发送加密了的握手信息让服务器验证,此时服务器收到信息后,如果能够正确解析客户端发送的握手信息,就表明客户端是之前自己联系的那台机器,信任危机解除。

在这里插入图片描述

服务端确认了客户端身份后,同样发送Change Cipher Spec报文,要求采用新的加解密参数,同样发送加密的握手信息给客户端,客户端收到信息后,如果能够正常解析加密的握手信息,此时就表明客户端和服务端之间已经建立了安全的连接。
在这里插入图片描述
此时,客户端和服务端就可以正常发送消息了。由下图可以看出,双方发送的消息已经进行了对称加密,此时的数据无论是被截获还是窃听,也完全不用担心信息的安全了。

在这里插入图片描述

值得注意的是,上述请求中,Certificate, Server Key Exchange, Server Hello Done是被封装到一条报文里面的,有些网站(比如百度)将Certificate单独列为报文,如果之前建立过连接并获取过Certificate,短期内他是不会重新发给你的,这也是目前比较流行的做法(只能说找到一个这么容器捕捉https全过程的网站还是很困难的)。

绝对信任

上述内容看似行云流水,但是在客户端与服务端最初交互时就存在一个问题!客户端如何知道第一次向他返回server hello的是他想要通信的服务器呢?因为证书是可以自行制作的,只不过自己制作的证书是没有公信力的。我们来看一下契约锁网站的证书:

在这里插入图片描述

通常一个证书会包含他覆盖的域名,证书的用途,签发的起止时间,域名方的公钥等信息。细心地小伙伴会发现,上述服务器返回Cercificate是返回了两个,域名方需要一个具有公信力的机构来验明正身。那么此时又有一个问题,契约锁证书的颁发者GeoTrust,难道就因为你叫Trust就代表你可信吗?好问题,当然不是!

当我们尝试去验证GeoTrust是否可信时,我们会去当前客户端中查找是否已经安装了该证书,如果已安装,表示可信任。

如果本机没有安装呢?浏览器会继续寻找该证书的签发方,然后递归检查签发方的证书是否本机安装,直到找到根证书。根证书的提供方在全球屈指可数,他不需要其他机构为他签名,可以理解为信任的来源。这样一来就形成了信任链

总结

说到这里,一个https网站现阶段可信度还是非常高的,他的可信任特性,由操作系统的供应商(Windows, MacOS)、中间证书的颁发机构以及根证书机构一同担保,值得信赖。通过上述的学习,这里也有一个问题希望大家可以思考一下,如果不法分子在我们的个人电脑中安装了他的根证书,会有什么后果?

上面说到,根证书是不需要其他机构签名的,如此一来,不法分子可以冒充任何网站来和你通信交互,风险极大。由此可知,在我们安装盗版系统的时候,是不是要慎之又慎呢?

以上。

Run_youngman
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌师兄的leetcode刷题笔记-trustedshops-android-sdk:值得信赖的商店AndroidSDK
06-30
谷歌师兄的leetcode刷题笔记适用于 ...https://jitpack.io " } } dependencies { compile ' com.trustedshops.androidsdk:trustedshops-android-sdk:1.9.4 ' } 2. 显示信任徽章 要显示 trustbadge,您必须在 layout.
Trusted-Landscape-Construction:https
05-06
2. **网站安全**:讨论为什么在景观建设类网站上使用HTTPS是必要的,以保护用户信息和维护企业信誉。 3. **HTML与HTTPS**:说明如何在HTML代码中正确引用HTTPS资源,避免混合内容问题。 4. **SSL证书配置**:介绍...
https信任证书的三种方式
瑞军的博客
05-24 3万+
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了   证书信任的过程:   证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任) 客户端信任证书的过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断是否对客户端发送的证书进行信任,...
IE7访问HTTPS网站提示证书有安全问题的解决方案
佳友
09-16 1115
问题描述 IE7浏览器是伴随着Vista操作系统而诞生的,微软也发布了针对XP系统的IE7浏览器版本。无论是Vista系统还是XP系统下的IE7,由于安全防范意识有很大提高,对于非法站点和安全加密站点的过滤都比较苛刻,所以在IE7下访问https这种通过SSL协议加密的网站
HTTPS为什么安全?
上善若水,水善利万物而不争。
01-22 2万+
1、http为什么不安全? http协议属于明文传输协议,交互过程以及数据传输都没有进行加密,通信双方也没有进行任何认证,通信过程非常容易遭遇劫持、监听、篡改,严重情况下,会造成恶意的流量劫持等问题,甚至造成个人隐私泄露(比如银行卡卡号和密码泄露)等严重的安全问题。
如何配置网站https安全协议
tzddzdhz的博客
12-14 1307
我们为什么要给网站配置https,https协议在安全性上高于http协议,是通http协议层建立加密层,对传输的数据有较好的保密作用,第二个是创建用户之前信任,加上https协议的地址栏上有一把绿锁并且高亮显示的,说明这种网站的安全性高于普通网站,让用户觉得此网站可信任度高。下面仿站小编来介绍一下https配置的全过程。 一、apache如何配置https 1.首先你得去申请ssl证书。证书文件有三种后缀的文件*.key,.pem,.crt .key文件是秘钥文件 .pem是证书文件 .crt是证书链接文
https证书验证原理是什么
蔚可云的博客
09-30 844
https证书就是对我们只登录网页时候对身份的认证,在我们需要登录网页的时候,通常需要先导入证书进行验证,验证通过后才能够登录网页。那么https证书验证原理是什么呢? 在了解https证书验证原理之前我们需要先了解一下怎么验证数字证书,验证数字证书的方法其实很简单,例如:我们需要登录某个贴吧或者论坛发表自己的观点,这是为了防止你内容的安全性,通常就需要验证数字证书,只有通过验证才能确保内容是你自己的观点,而不是别人冒名顶替的,就像是我们的身份证一样,我们只有验证过你的身份证之后我们才能知道你是“张三”、
分享几个值得信赖网站
xiaoyao666888的博客
07-21 1570
程序员在线工具:https://tool.lu/ 菜鸟工具:https://c.runoob.com/ toolfk:https://www.toolfk.com/ 源码交易网站https://www.ymama.net GitMind(在线思维导图):https://gitmind.cn/ 第一PPT:http://www.1ppt.com/ Ezgif(GIF动画编辑工具,视频转GIF):https://ezgif.com/ ProcessOn(在线作图工具):https://www.p
为什么HTTPS比HTTP更安全?
热门推荐
浪里行舟的博客
08-09 5万+
前言 近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 读完本文,希望你能明白: HTTP通信存在什么问题 HTTPS如何改进HTTP存在那些问题 HTTP...
JackHttp -- HTTPS 为什么是安全的?
JackWaiting
12-10 2209
HTTP 为什么是不安全的 什么是 HTTPS? SSL/TLS 在网络分层中所处的位置 HTTPS 与 HTTP & SSL/TLS 之间的关系 HTTPS 为什么是安全的 HTTPS 连接流程 分析 HTTPS 真的一定安全吗?
为什么HTTPS比HTTP更安全?
SSL加密技术
09-23 856
HTTP超文本传输协议是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。HTTP是一个很伟大的通信协议,但HTTP也有很多不足之处,例如: 1.使用明文传输,可能会被窃取不安全; 2.不验证通信方身份; 3.无法证明报文的完整性,证明不了报文是否被修改; HTTP使用明文传输 HTTP明文传输信息,...
lua-cURL访问http/https
08-08
Lua-cURL是一个用于在Lua环境中实现HTTP和HTTPS访问的库,它是基于著名的C语言库cURL构建的。... cURL库本身是一个强大的命令行...无论你是处理简单的HTTP请求还是构建复杂的网络应用,Lua-cURL都是一个值得信赖的库。
HTTPS帮助系列《三》如何选择 SSL 证书及免费SSL证书推荐
03-29
这里考虑的因素确实不少:是否支持多域名、泛域名,价格,信息泄露的保额,国内的厂商还是国外的,哪家最值得信赖,甚至是证书在浏览器上显示的小图标样式等等。  我购买过多家证书厂商付费和免费的SSL证书,并部署...
网站白名单「Website Whitelist」-crx插件
03-22
只允许请求你认为值得信赖网站网站白名单旨在促进毫不费力地阻止对不可信网站的请求。将评估每个请求的网站的域是否在白名单中,并且除非找到,否则HTTP请求甚至在开始之前就被阻止。这意味着该网站将不会有您...
kaguya-client:https的nodejs客户端
03-12
《kaguya-client:构建基于Node.js的HTTPS API客户端》 在现代Web开发中,API(应用程序编程接口)已经成为连接不同服务和...对于需要与kaguya-sama API交互的Node.js开发者来说,kaguya-client是一个值得信赖的工具。
https信任证书的三种方
u013406800的专栏
05-31 1644
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了 证书信任的过程: 证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任) 客户端信任证书的过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断
gsoap_2.8.103工具包.7z
07-02
《gSOAP 2.8.103工具包:HTTPS支持与WSDL2H解析强化》 ...对于任何涉及SOAP通信的项目,这个工具包都是一个值得信赖的选择。然而,需要注意的是,源码和依赖库并未包含在这个包中,需要自行从官方网站获取开源版本。
okhttp3.12.12.zip
09-12
在现代的互联网应用开发中,高效且可靠的网络通信是至关重要的。...本文将深入探讨OkHttp 3.12.12版本的特点和使用方法,以及它与HTTPS协议的结合...对于任何需要进行网络通信的Java应用,OkHttp都是一个值得信赖的选择。
一个基于PHPcURL的开源HTTP类库
08-07
【描述】:YurunHttp是一个优秀的PHP类库,它充分利用了cURL扩展的功能,为开发者提供了更简洁、高效的HTTP请求处理方式。...无论是进行网站爬虫开发,还是构建API接口,YurunHttp都是一个值得信赖的工具。
https//sunlogin.oray.com/default
最新发布
12-21
https//sunlogin.oray.com/default是一个提供远程桌面服务的网站。它可以让用户通过互联网远程连接到另一台计算机,实现远程控制、文件传输、远程协助等功能。用户可以通过该网站注册账号并下载相应的客户端软件,从而实现远程桌面连接。同时,该网站还提供了多种安全性保障措施,如数据加密、登录验证等,保障用户数据的安全性。 该网站服务的使用场景非常广泛,比如企业可以利用远程桌面服务实现员工的远程办公;个人用户可以在外出或者出差时通过远程桌面连接到自己的家用电脑,控制或者获取其中的文件;IT支持团队可以通过远程桌面服务实现对远程用户的技术支持等。 总的来说,https//sunlogin.oray.com/default为用户提供了便捷的远程连接服务,为用户提供了高效的远程协作和办公体验。同时,其安全性和稳定性也得到了用户的认可,是一个值得信赖的远程桌面服务网站
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值