HTTPS比HTTP到底安全到哪儿了?

已于 2022-02-27 23:28:01 修改
阅读量288 收藏 1
点赞数
分类专栏: http 文章标签: https http ssl
于 2021-08-22 03:20:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45853856/article/details/119847920
版权

文章目录

HTTPS比HTTP厉害到哪儿了?

HTTPS 是身披 SSL 外壳的 HTTP

通常HTTP直接和TCP通信。当使用SSL时,演变成先和SSL通信,再由SSL和TCP通信。简言之,所谓的HTTPS,其实就是身披SSL协议这层外壳的HTTP。
左HTTP、右HTTPS

在采用SSL后,HTTP就拥有了HTTPS的加密、整数和完整性保护这些功能。

HTTPS如何实现安全机制的

须知:

  1. 对称加密
  2. 非对称加密
  3. CA证书机构

对称加密

即A、B双方拥有同一把类型的密钥,一方用这个钥匙加密,另一方可以用这个解密。

非对称加密

有公钥、私钥两把密钥。假设A持有公钥,B持有私钥,A用公钥加密,B用私钥解密

CA证书机构

安全实现

事先声明,CA机构拥有两把密钥ca(公钥)、cb(私钥),同时服务器也有两把密钥sa(公钥)、sb(私钥),而客户端本地/浏览器存储着各大正规证书机构的公钥ca。

首先,服务器把自己的公钥交给数字证书认证机构,CA机构把这个sa和这个网站的一些信息用cb加密生成公钥证书,然后给到服务器。在这里插入图片描述
公钥证书就是介玩意儿。

SSL握手建立过程如下
在这里插入图片描述

  1. 客户端首次发送Client Hello报文开始SSL通信,报文包括支持的SSL的指定版本、加密组件列表(所使用的加密算法及密钥长度等)。就是跟服务器透个底,我就能看懂这些东西,别瞎跟我讲别的

  2. 服务器可进行SSL通信时,以Server Hello报文作为应答。报文也包含SSL版本及加密组件。你只支持这些,那我就从里面筛选一点吧

  3. 紧接着服务器继续发送Certificate报文,其中包含着公开密钥证书!

  4. 最后服务器发送Server Hello Done报文告诉客户端,SSL握手协商部分结束。

  5. 客户端收到以后,用本地的ca解密证书,如果能得到有用的身份信息(访问的网站对应的一系列信息),就说明证书是可以信任的。再发一个Client Key Exchange报文给服务器,报文中有一个随机生成密码串(Pre-master secret)。这个报文用上一步解出来的sa加密。

  6. 客户端接着发送一个报文告诉服务器,以后我们就用这个Pre-master secret密钥加密。

  7. 客户端继续发送Finished报文。这个报文里面包含连接至今全部报文的整体校验值。这次握手协商能否成功取悦于服务器是否能够正确解密该报文

  8. 服务器同样返回一个客户端步骤6发送的报文。行听你的,我们就用这个加密解密

  9. 服务器接着发一个Finished报文。

  10. 服务器客户端的Finished报文交换完毕后,SSL连接建立完成。从此处开始进行应用层协议的通信,即发送HTTP请求。

  11. 服务器回复HTTP相应。

上面文字对照图片阅读完后,接下来是整个流程的图解。
在这里插入图片描述
收工!!!

参考文献

图解HTTP . 上野宣

Borange54
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么说HTTPSHTTP安全
sisterAn的博客
06-01 622
HTTP 协议 HTTP(Hyper Text Transfer Protocol)协议是超文本传输协议的缩写,它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议,位于 OSI 网络模型中的应用层 HTTP 是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为 HTML 文件、图片文件、查询结果等。 HTTP协议一般用于 B/S 架构。浏览器作为 HTTP 客户端通过 URL 向 HTTP 服务端即 WEB 服务器发送所有请求。 HTTP 特点 HTTP 协议支持客户端
HTTPS安全在哪里?
weixin_33785108的博客
05-30 115
背景 最近基于兴趣学学习了下 HTTPS 相关的知识,在此记录下学习心得。 在上网获取信息的过程中,我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点,浏览器的地址栏中出现绿色图标时,意味着该站点支持 HTTPS 信息传输方式。我们知道 HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体,也就是 HTTP...
https到底安全在哪里?
热门推荐
shanghx_123的博客
01-16 1万+
对称加密算法 都说http是不安全的,http是明文传输,也就是说http在两个主机之间传输的信息都是没有经过加密的,那给他加个密不就好了。于是就有了对称加密算法。 对称加密算法指的是加密和解密用的是同一个密钥。 每次进行数据传输前,都是先对要传输的数据进行加密,然后对方再进行解密。虽然加密和解密算法是公开的,但那个密钥是保密的, 当收到密文时,只有通过密钥才可以解密。但是这个密钥怎么才能安全的...
httpshttp的区别,https到底安全在哪里?
生而为人我很抱歉
07-07 2122
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,H...
HTTPS 为什么比HTTP安全
weixin_43867229的博客
03-20 386
HTTPS 使用 SSL/TLS 协议对数据进行加密处理,保证数据在传输过程中不会被窃取或篡改。这意味着,即使数据在传输过程中被第三方截获,由于数据是加密的,第三方也无法解读数据内容。因此,对于需要处理敏感信息(如登录凭证、银行信息、个人隐私数据等)的网站,都应该使用 HTTPS 协议,以保护数据的安全性。:HTTPS 可以防止数据在传输过程中被篡改,确保用户接收到的数据是服务器发送的原始数据。:HTTPS 协议通过使用 SSL 证书来验证服务器的身份,防止用户被引导到假冒的网站。
超级有影响力霸气的Java面试题大全文档
07-18
 forward是服务器请求资源,服务器直接访问目标地址的URL,把那个URL的响应内容读取过来,然后把这些内容再发给浏览器,浏览器根本不知道服务器发送的内容是从哪儿来的,所以它的地址栏中还是原来的地址。...
你必须知道的495个C语言问题
05-08
3.21 “无符号保护”和“值保护”规则的区别在哪里? 第4章 指针 基本的指针应用 4.1 指针到底有什么好处? 4.2 我想声明一个指针并为它分配一些空间,但却不行。这些代码有什么问题呢?char*p;*p=malloc(10...
《你必须知道的495个C语言问题》
03-20
3.21 “无符号保护”和“值保护”规则的区别在哪里? 42 第4章 指针 45 基本的指针应用 45 4.1 指针到底有什么好处? 45 4.2 我想声明一个指针并为它分配一些空间,但却不行。这些代码有什么问题呢?char ...
为什么 HTTPSHTTP安全HTTPS 如何保证数据传输安全
卧龙小蛋的博客
01-04 1万+
大家好,我是蛋蛋。 HTTPHTTPS 在许多网站都有用到,但是现在都是极力倡导使用 HTTPS ,究其原因就是 HTTP 它不是安全的,在数据传输过程中会遭到黑客窃取,本篇文章会先讲解 HTTP 缺点,然后再讲解 HTTPS 是如何解决这些问题来保证安全的。 HTTP 缺点 通信使用明文(不加密),内容可能会被窃听 HTTP 本身不具备加密的功能,因此其在通信过程是使用明文方式发送的。这种方式就有可能造成通信过程中信息会被破解获取。例如一群????佩奇在路上坐着敞篷大货车,路过的人一下就能看到这车
面试官:为什么说HTTPSHTTP安全? HTTPS是如何保证安全的?
linwu的博客
08-24 353
实现完整性的手段主要是摘要算法,也就是常说的散列函数、哈希函数可以理解成一种特殊的压缩算法,它能够把任意长度的数据“压缩”成固定长度、而且独一无二的“摘要”字符串,就好像是给这段数据生成了一个数字“指纹”
https安全
努力的八戒
01-28 380
https相对于http解决三个问题: 1、防止通信内容被监听 2、防止通信内容被篡改 3、防止通信双方被冒充(中间人攻击) https主要用了下面三个技术 一、对称加密(比如AES、DES) 由于http时明文传输,中途可能会被窃听到通信内容,https对通信内容进行对称加密 二、非对称加密(比如RSA) 使用非对称加密对上面的对称加密的密钥进行加密,一方面可以防止对称加密的密钥...
https为什么是安全的协议?相对于http提升了什么?
豆轩的博客
07-03 984
https简述 https是一个老生常谈的话题了,也是面试过程种几乎必然会问到的一个问题,我们都知道 HTTPSHTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但一般面试官都喜欢深入挖掘的问: XXX的原理、为什么? 此两大法宝基本可以放在任何技术问题上,然后希望以此击溃所有的面试者。 那么套用在这个问题上,我们应该怎么去面对他呢? 那么首先,我们讨论一下https的原理 我们知道,httpshttp的最本质上的区别,是在于ssl/tsl证书,在浏览器
为什么说HTTPSHTTP安全? HTTPS是如何保证安全的?
常来常往,共同成长
04-02 1026
实现完整性的手段主要是摘要算法,也就是常说的散列函数、哈希函数可以理解成一种特殊的压缩算法,它能够把任意长度的数据“压缩”成固定长度、而且独一无二的“摘要”字符串,就好像是给这段数据生成了一个数字“指纹”摘要算法保证了“数字摘要”和原文是完全等价的。所以,我们只要在原文后附上它的摘要,就能够保证数据的完整性比如,你发了条消息:“转账 1000 元”,然后再加上一个 SHA-2 的摘要。网站收到后也计算一下消息的摘要,把这两份“指纹”做个对比,如果一致,就说明消息是完整可信的,没有被修改可以看到,
为什么HTTPSHTTP安全性更高?
qq_780662763的博客
04-21 671
HTTP(超文本传输协议)是目前互联网应用最广泛的协议,伴随着人们网络安全意识的加强,HTTPS 被越来越多地采纳。不论是访问一些购物网站,或是登录一些博客、论坛等,我们都被 HTTPS 保护着,甚至 Google Chrome、Firefox 等主流浏览器已经将所有基于 HTTP 的站点都标记为不安全。 为什么 HTTPSHTTP 安全?在回答这个问题之前,首先我们得了解 HTTP 和 ...
为什么HTTPSHTTP安全,以及两者的优缺点
ancan7211的博客
06-02 71
HTTPHTTPS: 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。   为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本...
HTTPHTTPSHTTPS为什么比HTTP安全
qq_45923489的博客
04-27 1423
一、安全HTTP在通信中: 通信使用明文,不对内容进行加密,容易被窃听 不验证通信方的身份,内容可能被伪装分子窃取 HTTPS则解决了上述问题: 内容加密,建立一个信息安全通道,来保证数据传输的安全 身份认证,确认网站的真实性 数据完整性,防止内容被第三方冒充或者篡改 HTTPS=HTTP+SSL/TLS ,如今SSL已废弃,所以只关注HTTP+TLS,在开始传输数据之前,通过安全可靠的TLS协议进行加密,从而保证后续加密传输数据的安全性。 TLS协议:传输层安全性协议,目的是为了保证网络
httpshttp安全的原因总结
love4amanda的博客
05-20 260
http存在哪些问题: 1.不对通信方做确认 2.无法保证信息传输的安全(无法确认完整度且是明文),说明不能保证完整度,数据就有可能被修改 https的处理(SSL层处理): 1 通过数字证书保证服务器安全 2 加密 数字证书的验证: 1.客户端访问,服务端将公钥证书发送过来客户端 2.此时客户端开始验证证书 验证细节: 服务器的运营人员向第三方机构CA提交公钥、组织信息、个人信息(域名)等...
https你很熟?灵魂三连问之https安全在哪里?客户端如何验证https证书的合法性?ssl是如何加密数据的?
qq_39962403的博客
08-17 640
如果你用的是ca机构发给你的pem和key,那么ca认为证书就是合法的,如果是你自己生产的证书,那么ca就认为你是不安全的,浏览器就会提示你。前面我们说过,在传输之前,我们需要用公钥对数据加密,但是公钥是明文传输的,那么可能就会出现如下图的情况,中间人对客户端伪装成服务端,对服务端又伪装成客户端,客户端和服务端都以为已经拿到了对方的公钥,对数据加密传输了,而其实用的却是中间人的公钥,那中间人自然可以加密解密,窃取,篡改了。那么ssl/tls是怎么解决上面我们说的,被窃听,被篡改,被伪造的问题的呢?
HTTPSHTTP有什么区别,到底安全在哪里?
声网的博客
06-29 2559
在上网获取信息的过程中,我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点,浏览器的地址栏中出现绿色图标时,意味着该站点支持 HTTPS 信息传输方式。HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体,也就是 HTTP+S。这个 S 可以是 TLS(安全传输层协议)、也可以是 SSL安全套接层),不过我更认可另一个抽象概括的说法,HTTP+Security。
HTTPSHTTP有什么不同点?
最新发布
07-09
HTTPSHTTP的主要区别在于安全性[^2]: 1. **加密**:HTTPS使用SSL/TLS协议对数据进行加密,保护通信内容不被第三方窃听,而HTTP则不提供这种保护。HTTPS的连接默认是加密的,这使得敏感信息如密码和信用卡号更安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值