HTTPS原理

最新推荐文章于 2023-02-28 14:50:58 发布
最新推荐文章于 2023-02-28 14:50:58 发布
阅读量290 收藏
点赞数
分类专栏: JAVA+数据结构+计算机网络+操作系统+组成原理 文章标签: https http ssl 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42643931/article/details/107458780
版权

HTTPS原理

HTTPS简介

HTTPS:超文本传输安全协议(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP通道,简单讲是 HTTP的安全版。即HTTP下加入SSL层(Secure Sockets Layer ,安全套接字协议),HTTPS的安全基础是SSL。其所用的端口号是443

HTTP:超文本传输协议(全称:HyperText Transfer Protocol)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。
HTTP原理HTTP原理

HTTP和HTTPS的差异

  1. HTTP是不安全的,且攻击者通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等。HTTPS被设计为可防止前述攻击,并在正确配置时被认为是安全的
  2. HTTP的URL由“http://”起始且默认使用端口80,而HTTPS的URL由“https://”起始且默认使用端口443
  3. HTTP协议运行在TCP之上,所有传输的内容都是明文,客户端和服务器端都无法验证对方的身份。
    HTTPS是运行在SSL/TLS之上的HTTP协议,SSL/TLS运行在TCP之上。所有传输的内容都经过加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进行了非对称加密
      1)对称加密密钥只有一个,加密解密为同一个密码,且加解密速度快,典型的对称加密算法有DES、AES等;
      2)非对称加密密钥成对出现(且根据公钥无法推知私钥,根据私钥也无法推知公钥),加密解密使用不同密钥(公钥加密需要私钥解密,私钥加密需要公钥解密),相对对称加密速度较慢,典型的非对称加密算法有RSA、DSA等。
     在这里插入图片描述

对称加密与非对称加密

对称密钥加密是指加密和解密使用同一个密钥的方式,这种方式存在的最大问题就是密钥发送问题,即如何安全地将密钥发给对方;而非对称加密是指使用一对非对称密钥,即公钥和私钥,公钥可以随意发布,但私钥只有自己知道。发送密文的一方使用对方的公钥进行加密处理,对方接收到加密信息后,使用自己的私钥进行解密。

由于非对称加密的方式不需要发送用来加密的私钥,所以可以保证安全性;但是和对称加密比起来,它非常的慢,所以我们还是要用对称加密来传送消息,但对称加密所使用的密钥我们可以通过非对称加密的方式发送出去。

传输流程

在这里插入图片描述

1.建立连接获取证书
SSL客户端通过TCP和服务器建立连接之后(443端口),并且在一般的TCP连接协商(握手)过程中请求证书。即客户端发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后服务器向客户端返回证书。(证书里面包含了服务器信息:域名。申请证书的公司,公共秘钥)。
2.证书验证
客户在收到服务器返回的证书后,判断签发这个证书的公共签发机构,并使用这个机构的公共秘钥确认签名是否有效,客户端还会确保证书中列出的域名就是它正在连接的域名。
3.数据加密和传输
如果确认证书有效,那么生成对称秘钥并使用服务器的公共秘钥进行加密。然后发送给服务器,服务器使用它的私钥对它进行解密,这样两台计算机可以开始进行对称加密进行通信。

具体描述

  1. 客户使用HTTPS的URL访问Web服务器,要求与Web服务器建立SSL连接
  2. Web服务器收到客户端请求后,会将网站的证书信息证书中包含公钥)传送一份给客户端。
  3. 客户端的浏览器与Web服务器开始协商SSL/TLS连接的安全等级,也就是信息加密的等级。
  4. 客户端的浏览器根据双方同意的安全等级,生成对称秘钥,然后利用网站的公钥将对称秘钥加密,并传送给网站
  5. Web服务器利用自己的私钥解密出对称秘钥
  6. Web服务器利用对称秘钥加密与客户端之间的通信

HTTPS的优点

  1. 客户端产生的密钥只有客户端和服务器端能得到
  2. 加密的数据只有客户端和服务器端才能得到明文
  3. 客户端到服务端的通信是安全的。

HTTPS的局限性

  1. HTTPS比HTTP耗费更多服务器资源(https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。);
  2. 过程复杂,访问效率低、不如HTTP,流量成本太高
  3. HTTPS并不能防止站点被网络爬虫抓取。在某些情形中,被加密资源的URL可仅通过截获请求和响应的大小推得,这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文),从而使选择密文攻击成为可能。
  4. SSL证书需要购买,功能越强大的证书费用越高;
  5. SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不能支撑这个消耗。

https不一定安全
用了 HTTPS 会被抓包吗?
HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。

但是,正如前文所说,浏览器只会提示安全风险,如果用户授权仍然可以继续访问网站,完成请求。因此,只要客户端是我们自己的终端,我们授权的情况下,便可以组建中间人网络,而抓包工具便是作为中间人的代理。

通常HTTPS抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。

既然 HTTPS 不能防抓包,那 HTTPS 有什么意义?

HTTPS可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。

要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被破解。

Reference:
计算机网络第七版谢希仁
https://blog.csdn.net/qq_34337272/article/details/78334155;

ddingddong~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python怎么爬虫https的内容_解决Python爬取HTTPS网页时的错误
weixin_39861498的博客
11-30 2327
因为想做一个爬虫定时领取淘宝的淘金币,无奈在使用requests获取页面内容时,收到了错误提示:/usr/local/lib/python2.7/dist-packages/requests/packages/urllib3/connectionpool.py:791: InsecureRequestWarning: Unverified HTTPS request is being made. ...
HTTPS 原理详解
09-29
本文将深入探讨HTTPS的工作原理,包括其加密机制、证书验证过程以及CA(证书颁发机构)的角色。 首先,HTTPS安全性主要源于加密技术的运用。在HTTPS的通信过程中,主要采用了非对称加密和对称加密的结合。非对称...
绕过HTTPS请求中的TLS特征识别及反爬机制
ip16yun的博客
02-28 806
因为目标网站的反爬机制检测到了你的请求不符合正常浏览器的请求特征,或者你的请求被检测到是从程序中发出的,而非浏览器。因此,我们可以通过修改请求头部中的 User-Agent 字段来伪装成浏览器,或者使用代理 IP 来隐藏请求的真实 IP,以绕过反爬机制。如果出现 TLS 特征被识别的情况,可以考虑以下一些方法来绕过反爬机制:使用代理 IP、修改请求头部信息、降低请求频率或使用其他语言库,如 aiohttp、 Scrapy、Selenium 等,来进行复杂的反爬处理。
公钥/私钥/https/客户端加密
qq_35772366的博客
04-21 2193
一、公钥和私钥 在rsa加解密算法里,一个公钥字符串和一个私钥字符串,是对应的。公钥私钥可以互相解密。用公钥加密数据后,只有用对应的私钥才能把公钥加密数据进行解密。用公钥加密数据后,或者用对应的公钥才能把私钥加密数据进行解密,这种用公钥解密私钥加密数据也叫签名。 二、https 由于http在数据的传输过程中是明文传输,在传输过程中有信息泄露风险。 这时就可以使用httpshttps实现了rsa...
图解HTTPS
黑盒子
09-12 378
** 图解HTTPS ** 我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。 HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的,且看下图。 1. 客户端发起HTTPS请求 这个没什么好说的,就是用户在浏览器里输入一个https网址,然
python3 爬虫https的坑 -- 已解决
热门推荐
金柱的博客
10-19 4万+
以下代码在ipython执行无报错,且有正确结果,但在pycharm执行就报错,错误代码见第二段# coding=utf-8 import re import urllib.request def getHtml(url): page = urllib.request.urlopen(url) html = page.read() html = html.decode('ut
https原理与配置 centos
03-20
HTTPS原理与配置CentOS HTTPS(Secure Hypertext Transfer Protocol)是一种安全的通信协议,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。HTTPS使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP...
HTTPS原理概述.md
01-26
### HTTPS原理概述 #### 对称加密与非对称加密 - **对称加密**:这是一种较为常见的加密方式,客户端和服务器使用同一套密钥来进行数据的加密和解密。这种方式的优势在于加密解密过程速度快、效率高,但在安全性...
HTTPS原理详解
08-13
理解HTTPS原理并正确配置服务器对于保障网络安全至关重要。在实际应用中,还需要关注性能优化、证书管理、SSL/TLS协议版本和加密套件的选择等方面。通过深入学习和实践,可以确保你的网站在提供安全服务的同时,保持...
HTTPS原理介绍.pptx
最新发布
06-13
HTTPS原理介绍 HTTPS(Hypertext Transfer Protocol Secure)是一种基于 TLS/SSL 协议的安全通信协议,用于在互联网上提供安全的通信环境。以下是 HTTPS 原理的相关知识点: 一、密码基础 HTTPS 使用了双向加密...
可怕,原来 HTTPS 也没用
程序猿石头的博客
01-20 343
点击上方蓝色字体,关注我 ——一个在阿里云打工的清华学渣!图 by:石头@云南关于号主:程序猿石头(ID: tangleithu),现任阿里巴巴技术专家,清华学渣,前大疆后端 Leade...
怎么防止网站被爬虫爬取的几种办法
梦想成真那天
04-08 1万+
今天想对一个问题进行分析和讨论,就是关于爬虫对网站页面爬取的问题,有些网站通过爬虫去采集其它的网站页面信息作为己用,大量的爬取行为会对web服务器有比较性能有影响,主要的表现就是会变得很慢。 对于如何防止网站被爬取,我想从以下几种方法去分析: 1.基于程序本身去防止爬取:作为爬虫程序,爬取行为是对页面的源文件爬取,如爬取静态页面的html代码,可以用jquery去模仿写html,这种方法伪装的页
Nginx支持HTTPS并且支持反爬虫
MarkArch的博客
06-26 1317
自己写了若干爬虫, 但是自己的网站也有人爬, 呵呵, 这里介绍一种Nginx反爬.我在阿里云只开放80端口, 所有一般端口都通过Nginx进行反向代理. 通过Nginx, 我们还可以拦截大部分爬虫.然后我们再给自己的网站加上HTTPS支持.Nginx安装我的系统如下:jinhan@jinhan-chen-110:~/book/Obiwan/bin$ lsb_release -a No LSB mo...
面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包吗
徐公,微信公众号同名
07-16 1万+
文章目录前言背景什么是 https什么是SSLhttps 的连接过程证书验证阶段数据传输阶段https 的加密方式是怎样的,对称加密和非对称加密,为什么要这样设计内容传输为什么要使用对称机密https 是绝对安全的吗什么是中间人攻击https 是如何防止中间人攻击的浏览器是如何确保CA证书的合法性?https 可以抓包吗扩展如何防止抓包?预置证书/公钥更新问题小结 往期文章 Android 面试必备 - httphttps 协议 Android 面试必备 - 计算机网络基本知识(TCP,UDP,Htt
如何防止网站被爬虫爬取的几种办法
Seven__________7的博客
04-28 5537
今天想对一个问题进行分析和讨论,就是关于爬虫对网站页面爬取的问题,有些网站通过爬虫去采集其它的网站页面信息作为己用,大量的爬取行为会对web服务器有比较性能有影响,主要的表现就是会变得很慢。 对于如何防止网站被爬取,我想从以下几种方法去分析: 1.基于程序本身去防止爬取:作为爬虫程序,爬取行为是对页面的源文件爬取,如爬取静态页面的html代码,可以用jquery去模仿写html,这种方
火车头采集器 采集https网站 以及网站cookie 避免 蜘蛛 爬虫 程序等
sflsgfs的专栏
04-18 1万+
火车头采集器 采集https网站 并不是想象中的困难,有时https网站只是用了这个加密协议,但是事实上的数据并没有加密,所以仍然可以采集。 如果确实有困难的可以通过,http分析软件来确认地址,如HttpAnalyzerStdV7,分析真实访问地址。 网站中的cookie,需要用正式浏览器获得,建议是ie浏览器,软件兼容性好。 同时为了避免 蜘蛛 爬虫 程序等,模拟浏览器选择真实的ie,
HTTPHTTPS 的区别
Kirito的博客
04-22 195
1.端口 HTTP的URL由“http://”起始且默认使用端口80,而HTTPS的URL由“https://”起始且默认使用端口443。 2.安全性和资源消耗 HTTP协议运行在TCP之上,所有传输的内容都是明文,客户端和服务器端都无法验证对方的身份。HTTPS是运行在SSL/TLS之上的HTTP协议,SSL/TLS 运行在TCP之上。所有传输的内容都经过加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进行了非对称加密。所以说,HTTP 安全性没有 HTTPS高,但是 HTTPSHTTP耗费更
用了HTTPS安全了吗?HTTPS 会被抓包吗
360linker
11-16 997
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPSHTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTT...
爬虫跳过https安全认证
百雨的博客
04-25 7755
当我们登陆一个https网站时可能会出现网站证书不可信问题,禁止我们访问,如若就想进入,我们可以点击页面的高级进行设置,同意进入。 我们在编写代码时,同理可以用将参数verify设置为False来跳过验证进入网页,下面是出现的警告,不用管它,我们就是抓取数据而已,又不是登录名加密码弄银行卡啥的。这样就能进入了 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值