通俗讲解 HTTPS

最新推荐文章于 2024-08-18 18:39:17 发布
最新推荐文章于 2024-08-18 18:39:17 发布
阅读量88 收藏
点赞数
文章标签: 操作系统
原文链接:https://juejin.im/post/5ae324fa518825671d204d30
版权

为什么要用 HTTPS

HTTP 是明文传输,任何人都能窃听到,甚至篡改。

HTTPS 可以有效防止窃听和篡改,能极大提高网站的安全性。

HTTPS 如何保障安全性

加密传输数据

HTTPS 会先将数据进行加密再传输,在网络中传输的时候任何人都只能捕获到加密后的数据。而只有拥有相应的秘钥才能解开数据。

那这里就有了新的问题:数据要怎么加密,用哪种加密方法来加密,客户端和服务端怎么协商确定秘钥,同时保证秘钥不被第三方所知道。

对称加密与非对称加密

先简单介绍两种加密的方式:对称加密和非对称加密。

顾名思义,对称加密就是加密和解密时使用的是相同的秘钥,优点是速度快。缺点是任意两个通信的实体之间都要维护他们彼此间通信的秘钥,而维护这么多的秘钥的成本太大了。

非对称加密就是加密和解密使用的是不同的秘钥,分别称之为公钥和私钥。公钥可以公开出来让所有人知道;私钥必须保存好,不能让其他人知道。非对称加密的特点是用公钥加密的数据只能用私钥解密,用私钥加密的数据只能用公钥解密。缺点是速度慢。

于是,我们可以这样操作:

客户端随机生成一个秘钥 A,使用服务端的公钥加密后发送给服务端。
服务端收到后,用自己的私钥进行解密获得 A。
服务端告诉客户端自己已经获得了 A。
这样客户端和服务端就都得到了一个秘钥 A,且不为其他人所知。
秘钥 A 只在本次通信过程中有效。

随后客户端每次发送数据前,都用秘钥 A 进行对称加密,服务端收到后都用秘钥 A 进行解密。
服务端发送数据给客户端时,也采用类似的操作。
复制代码

通过这样的操作,我们利用非对称加密来达到协商和确定好对称加密的秘钥 A,同时又利用了对称加密速度快的特点。

实际上 HTTPS 协商秘钥 A 的过程会比这个更复杂。但本质都是利用非对称加密来达到协商的目的。

这里实际上就有了一个新的问题:客户端怎么拿到服务端的公钥,同时确保这就是服务端的公钥而不是其他人伪造的。

HTTPS 证书

当我们访问一个 HTTPS 的网站时,服务端会下发一个 HTTPS 证书给我们。证书里面就包含了服务端的公钥,同时还有其他信息:证书所属的域名、颁发的机构、何时生效、何时过期等。

那现在问题就是我们如何确认一个证书是不是有效的,而且是不是我们访问的服务端发给我们的。

这里就牵扯到了 HTTPS 证书的生成。

简单说明一下 CA(证书颁发机构),CA 专门管理证书的申请和颁发。

申请证书的过程如下:

服务端向 CA 申请自己的 HTTPS 证书,
CA 审核通过后,就会将服务端的域名、公钥、证书的有效期等信息写到证书里。
同时 CA 会对证书里的信息做一个哈希获得一个哈希值,
用自己的秘钥对这个哈希值进行加密获得一个加密串,
并把加密串也写到证书里。这一过程称之为签名。
(签名就是证明这证书的确是 CA 发的,CA 为证书进行背书。)

现在,当我们访问网站后收到一个证书时,
首先用 CA 的公钥对加密串进行解密,得到加密前的哈希值。
再对证书本身的数据做一个哈希,如果这两个哈希值是一致的说明证书有效。
同时还要注意证书是否在有效期内。
通过以上校验,我们就可以认为这的确是我们期望的服务端下发的证书。

假设有人伪造了证书,假装自己是服务端,
由于他没有 CA 的秘钥,也就无法构造出与伪造数据吻合的加密串。
我们只要用 CA 的公钥对加密串一解密,发现哈希值不一致,就可以认定这是伪造的。
复制代码

这里又牵出了新的问题:我们怎么拿到 CA 的公钥。

全球只有为数不多的几个顶级 CA 有资格进行 HTTPS 证书的颁发。

所以操作系统和浏览器会预装这些 CA 的证书(包含了 CA 的公钥)。也就省去我们获取 CA 公钥的步骤和获取过程可能存在的伪造。

这里也可以看出 CA 证书是多么重要。如果我们电脑中安装了恶意的 CA 证书,而这个 CA 又故意或无意签发了大量恶意服务端的证书,那我们即便使用了 HTTPS 也无法保证安全通信。

客户端证书

大部分时候,我们都是从服务端拿数据,所以主要保证服务端是我们要访问的,也就是服务端要配置 HTTPS 证书。

如果为了让服务端确认客户端的确是谁,在大多数情况下使用“账号+密码”或“手机号+短信验证码”已经足够了。

为每个客户端都配置 HTTPS 证书,一个是申请证书本身需要费用;一个是申请的门槛较高,不是每个用户都能做到。

也因此,只要服务端配置了 HTTPS 证书,在大多数情况下已经足够安全了。

但是,对于某些对安全性要求极高的网站来说,他们也会要求客户端要安装 HTTPS 证书。

比如银行网上转账就是一个十分敏感的操作。通常在我们申请银行卡的时候会得到一个 U 盾。

U 盾里面实际上也是一个 HTTPS 证书,用于证明“我就是我”。

只是这个证书是由银行自己颁发的。(实际上要像 CA 那样发布证书是很容易的,但是只有少数权威的 CA 才被操作系统和浏览器所认可。)

当我们要进行网上转账的时候,就必须把 U 盾插入到电脑上,访问银行的相关网站时,就会把 U 盾中的证书带上去。

银行的服务端在收到我们的证书,就用自己的私钥进行解密,也就能确认我们的身份了。

Ref

深入浅出 HTTPS

转载于:https://juejin.im/post/5ae324fa518825671d204d30

weixin_34203832
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
https通俗解释
04-29 82
Client跟Server取得一个明文pubkey(此pubkey只能用于加密,解密privKey在Server手里) Client用pubkey加密一个aeskey,然后发给Server(Server用privkey解密) 之后都的通信双方都使用aeskey加/解密 另有解释: 二、服务端与客户端之间往来的数据都是经过aes加密的,使用的是同一个key一、但是这个key...
https原理通俗了解
runninghui的专栏
06-10 509
摘要:本文尝试一步步还原HTTPS的设计过程,以理解为什么HTTPS最终会是这副模样。但是这并不代表HTTPS的真实设计过程。在阅读本文时,你可以尝试放下已有的对HTTPS的理解,这样更利于“还原”过程。 我们先不了聊HTTP,HTTPS,我们先从一个聊天软件说起,我们要实现A能发一个hello消息给B: 如果我们要实现这个聊天软件,本文只考虑安全性问题,要实现 A发给B
https详解
one_zero_one的博客
08-15 502
一http的缺点 HTTP是属于应用层的协议,它是基于TCP/IP的,它只是规定一些要传输的内容,以及头部信息,然后通过TCP协议进行传输,依靠IP协议进行寻址,在整个过程中,没有任何加密的东西,所以它是不安全的,中间人可以进行拦截,获取传输和响应的数据,造成数据泄露。 二https的优势 1 非对称加密会有一对秘钥:公钥和私钥。 公钥加密的内容,只有私钥可以解开,私钥加密的内容,所有的...
带你通俗理解HTTPS
yanhuomatou2015的博客
09-09 1949
https:指的是在http层又加了一个SSL/TLS协议,要求服务器端跟客户端在传递数据的时候必须是加密后的数据,而且加密算法要绝对的安全。 https传输速度要比http慢,但是为了数据安全考虑,必须牺牲一些性能。https是采用非对称加密跟对称加密混合的方式。 第一步:先去证书颁发机构获取公钥(证书),根据公钥生成对应私钥(证书),私钥放在服务器,客户端向服务器发起请求时会先获取公钥回来,这一步就是非对称加密; 第二步:客户端产生随机秘钥,公钥对随机秘钥进行对称加密(RSA),把用公钥加密后的随机密钥
HTTPS到底是个啥玩意儿?
简单的老王
03-14 2万+
https到底对http干了什么?
introduction-to-git:https
07-14
本文档旨在以通俗易懂的方式解释 Git 的基本概念和用法。通过阅读本书 易于使用的 Git 你可以使用一个分支 多人可以一起工作 如果你有任何问题,你可以用谷歌找出“我应该查什么词” 目的是成为。 目标读者是“我想...
模型预测控制设计实现工作流程介绍,MPC实现示例:本示例模型是一个文档,以通俗易懂的方式介绍模型预测控制(MPC)的设计和实现工作流程。详细总结了从设计到代码生成和微控制器实现的流程。-matlab开发
05-31
解释主要是关于现场脚本。在下面的链接中,我们上传了实时脚本的 Markdown 版本,因此您可以使用 Web 浏览器浏览内容。 ...
【狂神】支付宝支付配置代码.7z
05-25
在这个教程中,"狂神"以通俗易懂的方式讲解了整个支付流程,适合初学者和有一定经验的开发者学习。 支付宝支付对接的核心在于调用支付宝开放平台提供的API接口。首先,你需要在支付宝开放平台上注册一个商户账号,...
有关C语言的名词解释
02-19
通俗地说,我们把数据加工计算中的特征称为数据类型。数据类型决定了数据的存储格式、运算方式和操作结果。常见的数据类型有整数、浮点数、字符、字符串等。 字符串:字符串或串(String)是由零个或多个字符组成的...
也许,这样理解HTTPS更容易
java的平凡之路
02-28 727
摘要:本文尝试一步步还原HTTPS的设计过程,以理解为什么HTTPS最终会是这副模样。但是这并不代表HTTPS的真实设计过程。在阅读本文时,你可以尝试放下已有的对HTTPS的理解,这样更利于“还原”过程。 我们先不了聊HTTP,HTTPS,我们先从一个聊天软件说起,我们要实现A能发一个hello消息给B: 如果我们要实现这个聊天软件,本文
https工作原理
热门推荐
tpl_01
11-13 3万+
HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据 1. 客户端发起HTTPS请求 这个没什么好说的,就是用户在浏览器里输入一个https网址,然后连接到server的443端口。 2. 服务端的配置 采用HTTPS协议的服务器
一篇最好懂的HTTPS讲解
陈立的博客
10-09 260
https这项技术现在已经应用得非常广泛了。随着苹果、Google等各大互联网领头企业纷纷在自己的操作系统、浏览器等主流产品中强制要求使用https,http的淘汰也正式进入了倒计时。 其实https对于客户端开发人员来说并没有什么需要特别注意的地方,因为代码和写http请求时并没有什么两样。但也正是因为这个原因,导致许多客户端开发人员对https并不了解,只知道它是安全的加密网络传输,对其具体的工作原理却一无所知。 那么客户端开发人员到底需不需要了解https呢?我认为还是有一定必要的,掌握了http
Https原理详解(http和https对比)
诺浅的专栏
02-11 3542
缘起 随着互联网的高速发展,安全问题也日益严重,传统的http已经不能满足安全方面的需求。各大搜索引擎也默认给http的网站降权,各大浏览器也会在用户访问网站的时候提示此网站使用的是http,是一个不安全的网站。如此下来,http则呼之欲出。这里一chrome为例,可以看到http的网站会提示不安全 而如果是https的网站则会提示安全 那么https相对http究竟是怎么做到安全的呢?他的原...
进程间通信 ---共享内存
BUG制造机的博客
08-14 1078
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
Linux网络设置
最新发布
Lwc1027的博客
08-18 845
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
应用站内组件模块间广播消息 Emitter - 鸿蒙 HarmonyOS Next
survivorsfyh的博客
08-14 273
应用站内组件模块间广播消息 Emitter - 鸿蒙 HarmonyOS Next 类似于 iOS 中的通知 NSNotificationCenter 或者 Android 的 EventBus
苹果笔记本电脑可以玩steam游戏吗 MacBook支持玩steam游戏吗 在Steam上玩黑神话悟空3A大作 苹果Mac怎么下载steam
雨林谷的博客
08-14 1268
游戏是生活的润滑剂,越来越多的用户开始关注Mac平台上可玩的游戏。幸运的是,Steam作为最大的数字发行平台之一,提供了大量适用于Mac操作系统的游戏。无论你是喜欢策略、冒险还是射击类游戏,都能在Steam上找到适合自己Mac设备玩耍的好游戏。虽然目前数量上还不及Windows平台,但你仍然可以玩到《幻兽帕鲁》、《赛博朋克2077》、《博德之门3》、《艾尔登法环》、《古墓丽影:暗影》《霍格沃茨之遗》、《女神异闻录3 Reload》、《魔兽世界》等各种游戏。
详解Linux命令--zip/unzip
简介
08-14 997
zip和unzip命令是Linux中最常用的命令之一,用于压缩和解压缩文件。本文将详细介绍zip和unzip命令的用法,并给出具体的示例。
通俗解释三次握手四次挥手
08-17
三次握手是TCP建立连接的过程。为了确保通信的可靠性,需要进行三次握手。第一次握手,客户端发送一个请求连接的报文段给服务器,并且等待确认。第二次握手,服务器收到请求后,确认连接,并发送一个响应报文段给客户端。第三次握手,客户端收到服务器的确认后,再次确认连接。这样,双方都确认了对方可以接收和发送数据,建立了可靠的连接。 四次挥手是TCP关闭连接的过程。为了保证数据的完整传输,需要进行四次挥手。第一次挥手,当一方决定关闭连接时,发送一个带有FIN标志的报文段给对方。第二次挥手,对方收到关闭请求后,发送一个确认报文段给发起关闭的一方。第三次挥手,对方发送一个带有FIN标志的报文段给发起关闭的一方。第四次挥手,发起关闭的一方收到对方的关闭请求后,发送一个确认报文段给对方,完成关闭连接的过程。 所以,简单来说,三次握手是为了建立连接,四次挥手是为了关闭连接,确保数据的可靠传输。 [2 [3<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [TCP三次握手与四次挥手的通俗解释](https://blog.csdn.net/qq_34533957/article/details/108856020)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [三次握手于四次挥手.docx](https://download.csdn.net/download/u013769717/12815580)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值