HTTP学习三:HTTPS

最新推荐文章于 2022-12-02 11:32:05 发布
最新推荐文章于 2022-12-02 11:32:05 发布
阅读量118 收藏
点赞数
文章标签: 运维 操作系统
原文链接:http://www.cnblogs.com/TomSnail/p/6093049.html
版权

HTTP学习三:HTTPS

1 HTTP安全问题

HTTP1.0/1.1在网络中是明文传输的,因此会被黑客进行攻击。

1.1 窃取数据

因为HTTP1.0/1.1是明文的,黑客很容易获得用户的重要数据,比如密码:

562880-20161123114049112-943532954.png

1.2 篡改数据

攻击者可以修改转账账户、金额等进行非法交易。

1.3 仿冒站点

攻击者可以通过仿冒HTTP站点,来同用户进行交互,用户不知道访问的站点是不是真实的。

2 HTTPS

2.1 RSA简单介绍

RSA算法基于一个十分简单的数论事实:将两个大质数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。

A和B的加密通信过程如下,反之也是同样的原理:

  • B用RSA公钥加密系统产生一对公私钥。
  • 公钥是公开的,私钥只有自己持有:B把公钥给A,自己保持私钥
  • 使用公钥加密的数据,只有私钥才能解开:A用公钥进行加密数据,加密后的数据只有B的私钥能解开
  • 用私钥进行签名的数据,可以用公钥验证:B把数据签名后,A用公钥验证,证明数据是B发来的

2.2 HTTPS原理

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL.(来自百度百科)

2.2.1 协议层次

562880-20161123114125565-423882327.png

2.2.2 加密过程

562880-20161123114134581-406501287.png

2.2.2.1 用户请求
用户在浏览器里输入一个https网址,然后连接到server的443端口
2.2.2.2 生成公私钥
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
2.2.2.3 传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
2.2.2.4 客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
2.2.2.5 传送加密随机值
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
2.2.2.6 解密随机值
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
2.2.2.7 传输加密信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
2.2.2.8 客户端解密加密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。

2.3 HTTPS优缺点

2.3.1 缺点

  • HTTPS 降低用户访问速度
  • 证书费用以及更新维护(花钱吧)
  • HTTPS 消耗 CPU 资源,需要增加大量机器(花钱上硬件)
  • SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名(可以花钱)

2.3.2 误区

HTTPS主要针对的是中间人攻击,能防止数据被窃取、篡改等,对其他形式的攻击比如csrf、xss就无能为力了。
对于部分使用HTTPS(比如登录页面)的应用,重要身份信息一般保存在cookie中,在非HTTPS请求中,仍能看到cookie信息。

3 Nginx配置HTTPS

3.1 安装Nginx

  • 安装Nginx略过
  • 检查是否安装SSL模块:./nginx -V
  • 需要安装openssl(现在linux操作系统都自带)

3.2 准备私钥和证书

创建服务器私钥

  • cd xxx/nginx/conf
  • mkdir key
  • cd key
  • openssl genrsa -des3 -out server.key 1024

签发证书

  • openssl req -new -key server.key -out server.csr

删除服务器私钥口令

  • cp server.key server.key.ori
  • openssl rsa -in server.key.ori -out server.key

生成自签名证书

  • openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

3.3 修改配置

nginx.conf

   listen       443;
   ssl on;
   ssl_certificate key/server.crt;
   ssl_certificate_key key/server.key;

3.3 访问

562880-20161123114156675-771508997.png

562880-20161123114226393-1602431149.png

转载于:https://www.cnblogs.com/TomSnail/p/6093049.html

weixin_30906701
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LearnosSource:https
03-11
项目的核心功能为在线创建/使用各种环境,可用于学习/测试(Docker实现) 项目使用微服务架构开发,可水平扩展多个第三方 请勿将本项目用于商业用途,否则造成的一切损失请自行承担 该项目主要功能使用以下框架开发 ...
SecureCRT遇到的问题与解决方案
Stack_OVER_flow的博客
12-19 1428
SecureCRT 连接Vmware虚拟机上的Linux 超时(connection time out)问题解决: (1)因为只是方便自己在做实验测试,所以我选择虚拟机网卡的类型为host-only,这种方式的好处,与Bridge方式相比,公司网络断了,宿主机也还是跟虚拟机通信,它们使用的是内部的网卡Vnet1,它的地址是192.168.0.1,所以要设置虚拟机Linux系统的地址为192.168...
网络知识--3.HTTPS
liqun3yue25的专栏
03-06 773
1.HTTPS简单说明 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。 即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的H...
http1 http2 http3 https 的区别
坚信万物皆可切的切图仔
07-22 759
http1.0 http1.0只能进行短连接。因为一次tcp连接要进行三次握手和四次挥手,所以很容易造成线程阻塞 http1.1 引入持久连接,connection:keep-alive 引入管道机制,在同一个tcp连接里,客户端可以同时发送多个请求 分块传输编码,服务端每产生一块数据就发送一块,采用“流模式”取代“缓存”模式 缺点 : - 同步有序进行,容易造成“队头堵塞”,解决 - 高延迟 - 无状态特性-阻碍交互 - 铭文传输-不安全性 - 不支持服务端推送
【已解决】redis启动错误: Warning: no config file specified, using the default config. In order to specify a
weixin_60387745的博客
12-02 9628
redis启动错误: Warning: no config file specified, using the default config. In order to specify a config 如何更改redis的密码,以及如何解决报错问题
Java安全通信:HTTPS与SSL
springk的专栏
03-19 1237
转自:http://www.cnblogs.com/devinzhang/archive/2012/02/28/2371631.html 1. HTTPS概念         1)简介            HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版
netty-learning:https
05-14
Netty源码解析 Netty是Java世界知名的网络应用框架。本系列文章是Netty的源码导读。...三、Netty实战 1.构建一个socks proxy ========= 其他学习资料: 《Netty代码分析》 by 阿里中间件团队博客: http://jm
Netty4.0学习笔记系列之三:构建简单的http服务
06-10
NULL 博文链接:https://bijian1013.iteye.com/blog/2340634
小白学习python笔记: pip安装失败 下载慢解决办法
12-21
关于pip第三方库的安装方法: 我在尝试安装pip时,遇到了下载慢下载报错的问题。通过查阅资料发现是pip默认的下载源是国外,所以我们只需要将下载源换成国内的。 具体方法如下: 比如要下载pyqt5,打开cmd,通常输入...
开发一款任意APP-开发一款任意APP需要的类库以及多渠道打包命名框架 如需学习用法详见旧版本:https://github.com/geeklx/jiuzhidao_xinjiagou.zip
09-23
https://blog.csdn.net/qibin0506/article/details/71307301此类放置自定义View和第三方控件集合:(按顺序)anroomcrash:验证APP崩溃和内存溢出的方法assetsfitandroid:1.拍照上传 2.复制assets目录到本地缓存...
Git忽略提交规则 - .gitignore配置运维总结
weixin_34195546的博客
07-21 791
  在使用Git的过程中,我们喜欢有的文件比如日志,临时文件,编译的中间文件等不要提交到代码仓库,这时就要设置相应的忽略规则,来忽略这些文件的提交。简单来说一个场景:在你使用git add .的时候,遇到了把你不想提交的文件也添加到了缓存中去的情况,比如项目的本地配置信息,如果你上传到Git中去其他人pull下来的时候就会和他本地的配置有冲突,所以这样的个性化配置文件我们一般不把它推送到git服...
nginx编译安装和常规配置
weixin_34186128的博客
07-01 146
nginx编译安装和常规配置 Nginx 是一个高性能的 HTTP 和 反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。Nginx 编译安装比较简单,难点在于配置。   Nginx 可以在大多数 Unix like OS 上编译运行,并有 Windows 移植版。目前 Nginx的1.0.0稳定版已发布,开发版本为0.9.x,稳定版为...
gitignore 文件生效办法
weixin_34092455的博客
09-28 85
.gitignore 可以添加一些不加入git版本控制的文件   比如一些测试文件、因人而异的配置信息等等 .gitignore 文件展示如下 /.idea/target//.classpath /.project /.settings /deployments/config/PRD /deployments/config/ST /ics.credit.iml /.giti...
java文件读写的两种方式
weixin_34152820的博客
12-12 98
今天搞了下java文件的读写,自己也总结了一下,但是不全,只有两种方式,先直接看代码: public static void main(String[] args) throws IOException { io(); buffer(); } /** * 以流的形式读写 可以使用任何文件 特别是二进制文件 * * @author hh * @da...
错误中积累经验,BUG中寻发展,总结中提升
weixin_34152820的博客
03-22 169
1、动态绑定DropDownList时,要注意绑定Text和Value,显示的是Text,程序中提取的是Value; 2、cross join 是笛卡儿乘积 就是一张表的行数乘以另一张表的行数left  join 第一张表的连接列在第二张表中没有匹配是,第二张表中的值返回nullright join 第二张表的连接列在第一张表中没有匹配是,第一张表中的值返回null full  join 返回两张...
centos 16安装PHP7.0 异常 No pool defined. at least one pool section must be specified in config file
Dafei4的博客
03-28 1619
异常内容:root@ubuntu:/data/server/php7/lib/php# /data/server/php7/sbin/php-fpm [27-Mar-2018 20:57:22] WARNING: Nothing matches the include pattern '/data/server/php7/etc/php-fpm.d/*.conf' from /data/serve...
在openssl申请证书时遇到的问题解决
qq_38163961的博客
03-28 9892
关于 can’t open config file: z:/strawberry_libs/build/2013Q3/ssl/openssl.cnf问题解决 一开始运行openssl的时候就产生一条WARMING: WARNING: can’t open config file: z:/strawberry_libs/build/2013Q3/ssl/openssl.cnf 当时没在意结果产生.c...
解决xcode升级插件失效
weixin_34216036的博客
12-15 89
在终端执行defaults read /Applications/Xcode.app/Contents/Info DVTPlugInCompatibilityUUID 复制显示出来的uuid; 方式1--插件已经安装完成 1、打开xcode插件所在的目录:~/Library/Application Support/Developer/Shared/Xcode/Plug-ins; 2、选择已经安装...
fatal: unable to access 'https
最新发布
09-04
三、说明 参考链接: 修改本地Git用户名、密码(转) git clone 出现fatal: unable to access ‘https://github 类错误解决方法 欢迎大家一起讨论、学习。 问题:请告诉我,fatal: unable to access 'https: fatal: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值