对于HTTPS的了解主要分为这几方面
- HTTPS与HTTP在安全上的区别
- HTTPS的加密流程
- HTTPS1.2 和 1.3 的区别
HTTPS与HTTP在安全上的区别
https = http+ssl/tls
ssl和tls 其实是一个东西,只是维护的公司不同,叫法不一样
更详细的7层拓扑模型
7层协议和5层4层之间的转换流程
安全性上的区别
http 明文传输的,被获取后信息可能被盗取
http 的请求可以被冒充,获取到信息后可以伪造身份模仿请求
http 的请求信息可以被篡改,并且无法识别是否被篡改
无法保证http的真实性
相对于来说
https 传输的内容是加密的,虽然也可以被盗取,但是由于是密文,盗取后也没用
https 发送请求是需要被认证的,无法伪造身份信息
https 内容也可以被篡改,但是由于是加密的内容,篡改后会校验不通过,内容会被判定为无效请求,会要求重发。
通过身份认证,内容加密保证了事务的真实有效
易用上的区别
安全和效率肯定是反向存在的
由于HTTPS 需要第三方证书认证,所以速度上要慢
HTTPS 的工作流程
先看http的工作流程
http 建立连接是要3次握手的
https是要在3次握手之后还要做一系列的加密解密验证
HTTPS 加密流程
- client发起请求
- server返回公钥证书(自己保留私钥)
- client验证证书(拿到证书后去第三方验证)
- client生成对称密钥,用公钥加密后发给service
- service 使用私钥解密,得到对称密钥
- 双方用对称密钥交互
看出HTTPS 使用的是混合加密类型
1.2的具体加密过程
1、首先呢,客户端先向服务端发送加密通信(https)请求,这次请求中包括:
SSL/TSL版本号
加密套件,也就是客户端支持的加密算法列表
产生一个随机数,我们叫他为第1随机数
有一个Client Hello字符串
2、服务器收到请求后,向客户端发出响应:
确认SSL/TSL版本号,如果客户端不支持,那么就关闭通信
确认的加密算法列表
生成一个随机数,我们叫第2随机数
3、服务器再向客户端发送数字证书,这里敲重点了。服务器会把自己的公钥注册到CA(第三方证书机构),然后CA拿自己的私钥对服务器的公钥进行处理并颁发数字证书。
4、服务器将公钥发送给客户端
5、服务器发送Hello Done,表示发送完毕
6、客户端收到服务端一系列响应后,确认数字证书和公钥,没有问题后向服务端发送:
生成一个随机数,我们叫第3随机数或者预主密钥,此预主密钥会通过公钥进行加密
客户端握手结束通知,表示客户端的握手结束
7、服务端收到客户端数据后,使用私钥对加密后的预主密钥进行解密,没有其他人知道预主密钥,因为它加密了,除非服务器私钥泄漏。然后服务端通过第一、二、预主密钥计算出会话密钥。客户端也计算出了会话密钥。
8、服务端向客户端发送:
加密通信算法改变通知,以后通过会话密钥通信
服务端握手结束
到此为止,SSL/TSL握手结束,在此之后都会通过会话密钥来进行加密和解密,也就是对称加密
1.3
1.3 相较于1.2 主要做了算法和握手次数的优化
1.client 把随机数发给service
2.service 拿到 client 的随机数后 用2个随机数和CA信息和公钥 生成pre-master
3.service 把随机数和CA信息和公钥 发个client ,client也生成 pre-master
查看证书
certmgr.msc
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
