HTTPS原理-以知乎首页HTTPS抓包分析
文章目录
HTTP协议
HTTP协议是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。
HTTP协议的问题
随着各种网络的攻击手段的出现,如何确保数据传输的安全和确认收发双方的身份问题日益突出。HTTP存在一些问题:
1.明文通信,内容可以直接被窃听
2.无法验证报文的完整性,可能被篡改
3.通信方身份不验证,可以被伪造。
因此,HTTP协议无法提供信息安全的保证。
HTTPS协议
HTTPS缩写上只是比HTTP多了一个S,这个S代表的是SSL/TLS协议
,简单的说HTTPS是由HTTP协议+SSL/TLS协议组成,关键在于SSL/TLS协议。通过HTTPS协议,可以解决HTTP协议存在的问题,很好的解决了数据信息的安全。注意一点,不可以单纯的说HTTPS是应用层协议,因为SSL/TLS协议是属于传输层的协议。
SSL/TSL协议:SSL协议,是一种安全传输协议。TLS是SSL v3.0的升级版,目前所有的Https都是用的是TLS,而不是SSL,注意区分。
SSL/TLS*实现的主要环节
1.协商算法
1)客户端产生随机数RNC,然后将自身支持的SSL信息、算法信息和随机数RNC发送给服务器端。
2)服务器端接收到请求后,产生相应的随机数RNS,然后将自身支持的SSL信息、算法信息、随机数RNS和其他信息(包括服务器证书、获取客户端证书的请求)发送给客户端。
2.验证证书
验证证书有两种,一种是单向认证,另一种是双向认证。单向认证只需要通信双方有一份数字证书,也就是只能确定某一方的身份,安全性较低但也足够安全了**。**双向认证服务是需要通信双方都需要有数字证书,能够确认双方的身份。
双向认证服务,先是客户端对服务端的证书进行确认,然后客户端响应服务端的要求提供自己的证书给服务端,服务端如法炮制的进行确认客户端的证书的真实性,由此完成双方证书的有效性和真实性的检验。
2.1 服务器下发证书给客户端
1)协商算法中服务器的响应数据中包括了服务器证书。
2)客户端将服务器的证书发送到认证机构
。
3)认证机构鉴别该证书,回应客户端验证结果,如果验证失败将得到警告信息。
2.2 服务端要求客户端提供客户证书并确认(HTTPS双向验证才有的步骤)
特别提示:该步骤不一定需要,若没有这一步,则该验证证书的操作被称为单向认证服务
的验证方式。一般的网站都是单向HTTPS的。
1)服务端请求客户证书
2)客户端发送客户证书。