HTTPS就一定是安全的吗?

最新推荐文章于 2024-08-30 11:53:41 发布
最新推荐文章于 2024-08-30 11:53:41 发布
阅读量3.5k 收藏 8
点赞数 6
分类专栏: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41480687/article/details/106327531
版权

每当我们讨论到信息安全的时候,我们经常接触到的信息加密传输的方式莫过于HTTPS了,当我们浏览器地址栏闪现出绿色时,就代表着这个网站支持HTTPS的加密信息传输方式,并且你与它的连接确实被加密了。但是HTTPS并不是一个单一的东西,它是SSL+HTTP协议。

相信我们在学生时代的时候都做过传过小纸条这样的事情,下面我们通过一个传纸条的例子来说明这个协议。

目前你坐在一个教室最前排,你想把你的QQ密码传递给教室里最后排另一个人,一般来说,会选择,传纸条。传纸条这就是可以比喻成互联网的一个基础协议TCP/IP协议基本的工作模式。而通常,HTTP协议的数据是使用TCP/IP协议进行发送的。HTTP指的是你在纸条上写明你要传送的目的地是哪个同学的坐位,然后再是要传递的内容。途径的同学拿到纸条后根据纸条上显示的地址依次传过去就好了。这样要面临的第一个问题就是:途径的同学可以完全知道你写了什么。这样别的同学也会知道你传递的QQ密码。

所以,我们的HTTPS就来解决第一个问题“窃听”。这种问题通常是通过“加密”来解决的。其实就是双方约定一个暗号。用什么字母去替代什么字母之类的(比如说用1代替a,a代替1)。但是考虑到互联网每天有无数信息需要加密,这种原始的加密方法似乎不太适合。一般来说,是采用一种叫做AES(高级加密标准)的算法来解决的。这种算法需要一个密钥key来加密整个信息,加密和解密所需要使用的key是一样的,所以这种加密一般也被称为“对称加密”。AES在数学上保证了,只要你使用的key足够足够足够足够的长,破解是几乎不可能的。

我们继续回到传纸条的场景,我们使用AES加密算法将传递的QQ密码进行加密,并且要将密钥也传递给后排的同学,那么第二个问题就来了,传递小纸条的时候,AES不是有一个key吗?key怎么给目的地啊?如果我把密钥直接写在纸条上,那么中间的人不依然可以解密吗?在现实中你可以通过一些其它方法来把密钥安全传输给目的地而不被其他人看见,但是在互联网上,要想这么做难度就很大了,毕竟传输终究要经过这些路由,所以要做加密,还得找一个更复杂的数学方法。

于是,更加复杂的加密算法——非对称加密,应运而生。基本原理是:这种加密指的是可以生成一对密钥(k1,k2)。凡是k1加密的数据,k1自身不能解密,而需要k2才能解密;凡是k2加密的数据,k2不能解密,需要k1才能解密。其中最常用的就是RSA加密算法。其基于的数学原理是两个大素数的乘积很容易算,而拿到这个乘积去算出是哪两个素数相乘就很复杂了。好在以目前的技术,分解大数的素因数确实比较困难,尤其是当这个大数足够大的时候(通常使用2的10次方个二进制位这么大),就算是超级计算机解密也需要非常长的时间。

接下来我们继续传纸条的场景,于是你用RSA技术生成了一对k1、k2,你把k1用明文发送了出去,路经有人或许会截取,但是没有用,k1加密的数据需要用k2才能解密。而此时,k2在你自己的手里。k1送达目的地后,目的地的人会去准备一个接下来用于对称加密传输的密钥key,然后用收到的k1把key加密了,把加密好的数据传回来。路上的人就算截取到了,也解密不出key。等到了你自己手上,你用手上的k2把用k1加密的key解出来,现在全教室就只有你和你的目的地拥有key,你们就可以用AES算法进行对称加密的传输啦!这时候你和目的地的通讯将无法再被任何人窃听!

既然非对称加密可以那么安全,为什么我们不直接用它来加密信息,而是去加密对称加密的密钥呢?

这是因为非对称加密的密码对生成和加密的消耗时间比较长,为了节省双方的计算时间,通常只用它来交换密钥,而非直接用来传输数据。

那么,使用非对称加密是100%安全的吗?答案:不是的

实际上,还有一种更恶劣的攻击是这种方法无法防范的,这就是传说中的“中间人攻击”

我们继续让你坐在教室里传小纸条。现在你和目的地上途径一个中间人,他有意想要知道你们的消息。由于这个描述比较复杂,我们将你称为Sender,你的目的地称为Reciver,而中间人称为Agent。当你要和Reciver完成第一次密钥交换的时候,途径了Agent。Agent知道你要进行密钥交换了,它把小纸条扣了下来,假装自己是Reciver,伪造了一个key,然后用你发来的k1加密了key发还给你,你以为你和Reciver完成了密钥交换,实际上你是和Agent完成了密钥交换。同时Agent和Reciver完成一次密钥交换,让Reciver误以为和你完成了密钥交换。现在,由Sender->Reciver完整的加密,变成了Sender(加密连接1)->Agent(明文)->Reciver(加密连接2)的情况了。这时候Agent依然可以知道Sender和Reciver传输中的全部信息。

对于“中间人”这个问题,解决方法就是保住你密钥交换的对象是安全的。一般来说,你访问网站时,你访问的对象通常是一个比较大的服务供应商,他们有充沛的资源,也许可以证明他们的合法性。

这时候我们会引入一个第三方叫做CA。CA是一些非常权威的专门用于认证一个网站合法性的组织。服务商可以向他们申请一个证书,使得他们建立安全连接时可以带上CA的签名。而CA的安全性由操作系统或浏览器来认证。你的Windows、Mac、Linux、Chrome、Safari等会在安装时带上一个他们认为安全的CA证书列表。如果和你建立安全连接的人带着这些人的签名,那么认为这个安全连接是安全的,没有遭到中间人攻击。

CA证书通常情况下是安全的。因为一旦某个CA颁发出的某个证书被用于了非法用途,浏览器和操作系统一般会通过更新将整个CA颁发过的全部证书全部视为不安全。这使得CA通常在颁发证书时是比较小心的。

所以通过对称加密+非对称加密+CA认证这三个技术混合在一起,才使得HTTP的后面加上了一个S——Security。实际上HTTPS的协议比我这里描述的更复杂一些,我这里说的主要是基本的实现原理。因为其中任何一环稍有闪失,就会使得整个加密都将变得不安全。这也是为什么HTTPS的加密协议从SSL1.0升级到SSL3.0再被TLS1.0现在被TLS1.2取代,其背后都是一环环细节上的修改,以防任何地方的闪失。

参考地址:https://drivers.160.com/wlaq/81240XPXiI.html

哈K
关注
专栏目录
内存越界一定会导致程序崩溃吗?详解内存越界
dvlinker的技术专栏
08-20 2万+
本文详细解释了内存越界不一定导致内存越界的问题,全面介绍了C++内存越界的相关内容。
StingBuffer是线程安全的吗?不一定
zcw4237256的博客
01-15 2834
我们知道StringBuffer是线程安全的,StringBuilder是非线程安全的,但是这个安全并不是绝对的。     StringBuffer的方法都加了synchronized关键字来保证每一次方法调用都是线程安全的,但是如果多个线程同时调用StringBuffer的append的方法仍然是有问题的,看下面的例子。    我们有一个单例类 [java] view
https到底安全在哪里?
热门推荐
shanghx_123的博客
01-16 1万+
对称加密算法 都说http是不安全的,http是明文传输,也就是说http在两个主机之间传输的信息都是没有经过加密的,那给他加个密不就好了。于是就有了对称加密算法。 对称加密算法指的是加密和解密用的是同一个密钥。 每次进行数据传输前,都是先对要传输的数据进行加密,然后对方再进行解密。虽然加密和解密算法是公开的,但那个密钥是保密的, 当收到密文时,只有通过密钥才可以解密。但是这个密钥怎么才能安全的...
用了 HTTPS,没想到还是被监控了!
CSDN云计算
01-07 785
作者 | 轩辕之风来源 | 编程技术宇宙大家好,我是轩辕。上周,微信里有个小伙伴儿给我发来了消息:随后,我让他截了一个完整的图,我一瞅,是HTTPS啊!没用HTTP!再一瞅,是www.ba...
HTTPS一定安全
最新发布
wys2338的博客
08-30 1142
当浏览器发起 HTTPS 请求时,需要验证域名、有效期等信息是否正确,判断证书来源是否合法,还有就是由于数据是加密的,正常情况下,抓包工具代理请求后抓到的包内容是处于加密状态,无法直接查看内容。https是一种通过计算机网络进行安全通信的传输协议,主要目的是提供对网站服务器的身份认证,保护交换数据的隐私与完整性,但不能说使用htttps就一定绝对的安全。有一点需要了解的是,使用HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。3,SSL证书需要花费,功能越强大的证书费用越高;
https真的安全吗?https一定安全吗?
可乐多点冰的博客
10-28 2516
一定。 现在我们是使用ca公钥对ca机构颁发的ca数字证书进行验证,基于对于CA的信任机制。 所以这个信任机制有问题的话,那就可能不安全 第一个方面, 那么ca机构是否存在是假的吗? 会存在,但是一般不会发生,因为公司一般去申请ca证书的时候,都会选择正规的CA机构。几乎不可能存在去假的CA机构进行验证。 另外,虽然正规CA的公钥公开,即使这中间人解开了CA数字证书,也没法改变数据之后进行私钥加密,因为“中间人攻击”的中间人不会得到正规CA的私钥。 只有公司去了假了CA机构申请,才会有私钥。 第二个方面
HTTPS 原理分析——带着疑问层层深入
java梦工厂
11-29 475
首发地址 https://blog.leapmie.com/archives/418/ HTTPS 随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTP...
https是绝对安全的吗?
YangYoung_的博客
05-27 703
不是的,比如说可以伪造证书,假装自己的正规网站。 或者是作为中间商赚差价,在收发消息的双方中间做中间商,分别跟两边交换秘钥,截获消息。
字节一面:https 真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世)
chuhe1989的博客
09-09 1779
前言 转眼间,2020 年已过去一大半了,2020 年很难,各企业裁员的消息蛮多的,降职,不发年终奖等等。2020 年确实是艰难的一年。然而生活总是要继续,时间不给你丧的机会!如果我们能坚持下来,不断提高自己,说不定会有新的机会。 面试中,网络(http, https, tcp, udp), jvm, 类加载机制等这些基础的知识点是高频出现的,每个程序员都能说上好多。但不一定说到重点,以及理解背后的原理。 我在面试的过程中也经常被问到,于是总结记录了下来。千万不要小瞧这些基础,有时候,你算法,项目经验都过了
面试官:ArrayList是线程安全的吗?如果不是,请举例说明?
是田同学啊的博客
02-07 5993
文章目录1、ArrayList线程不安全演示示例2、解决ArrayList线程不安全方案2.1 采用Vector类2.2 通过Collections类构造同步的List2.3 采用 CopyOnWriteArrayList类3、HashSet3.1 解决方案3.2 CopyOnWriteArraySet3.3 HashSet 面试点补充4、HashMap4.1 解决方案 1、ArrayList线程不安全演示示例 /** * @ClassName: CollectionDemo1 * @Auther: 戏
JackHttp -- HTTPS 为什么是安全的?
JackWaiting
12-10 2239
HTTP 为什么是不安全的 什么是 HTTPS? SSL/TLS 在网络分层中所处的位置 HTTPS 与 HTTP & SSL/TLS 之间的关系 HTTPS 为什么是安全HTTPS 连接流程 分析 HTTPS 真的一定安全吗?
https就是真的安全吗?
dj1540225203的博客
10-30 662
其实https://www.xxx.cn,并非真的安全,因为代码里面可以自己拼接url的;除非浏览器显示安全
https真的安全吗,加密登录其实不简单
weixin_30411239的博客
04-08 364
  登录,是做web开发的程序员做项目第一接触到的模块,看似简简单单的登录背后囊括了编程知识的方方面面。   登录安全吗?密码会不会泄露? 明文传输时代   互联网开始的时候,登录确实是使用明文校验的,甚至数据源中存的也是明文密码,后来随着黑客的诞生,和隐私安全保护的考虑,密码开始使用密文存储。   于是认证的过程变成了这样,用户注册时,数据库保存了加密的密码,当用户登录时,we...
面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包吗
2401_84264096的博客
04-27 1277
SSL 由 Netscape 公司于1994年创建,它旨在通过Web创建安全的Internet通信。它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。SSL证书就是遵守SSL协议,由受信任的CA机构颁发的数字证书。SSL/TLS的工作原理:需要理解SSL/TLS的工作原理,我们需要掌握加密算法。对称加密:通信双方使用相同的密钥进行加密。特点是加密速度快,但是缺点是需要保护好密钥,如果密钥泄露的话,那么加密就会被别人破解。
用了 HTTPS一定安全吗?
程序员小乐
02-28 131
????推荐大家关注一个公众号????点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文If you do not go after what you want,...
全站 HTTPS一定安全了吗?
github_36774378的博客
07-28 185
随着网络技术手段不断地更新迭代,互联网安全对于企业和个人的重要性都越来越高。因此越来越多的服务商都开始偏向为用户提供更安全的在线内容访问。 中间人攻击 为了保障网站内容安全,诞生了不少加密方式。目前应用最为广泛的加密方式是 TLS(安全传输层协议),它脱胎自广为人知的 SSL(安全套接字协议),并和 SSL 一起组成了 SSL/TLS 加密,可以让 HTTP 变身为 HTTPS,为用户和网站提供安全的数据传输。 正常来讲,使用 HTTPS 和可靠的 SSL/TLS 证书访问网站时,加密的传输是安全的。但是因
用了HTTPS安全了吗?HTTPS 会被抓包吗
360linker
11-16 1068
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS一定安全吗? 本文将层层深入,从原理上把 HTTPS安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTT...
线程安全的集合就一定线程安全吗?
08-11
线程安全的集合并不一定就是完全的线程安全。尽管像Vector和Stack这样的集合类在实现上使用了synchronized关键字来确保线程安全,但仍然可能出现其他线程安全问题。例如,引用中的代码展示了一个问题,即在使用迭代器遍历集合的同时,另一个线程可能会修改集合的大小,导致遍历过程中出现异常或遗漏元素。因此,尽管集合类是线程安全的,但在使用时仍需谨慎,并且需要额外的同步措施来保证线程安全123 #### 引用[.reference_title] - *1* *2* [关于集合中的线程安全问题](https://blog.csdn.net/m0_51660523/article/details/121364640)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [同步容器(如Vector)并不是所有操作都线程安全!](https://blog.csdn.net/qq_16605855/article/details/80688707)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值