HTTPS执行流程疑问

最新推荐文章于 2023-04-11 14:35:02 发布
最新推荐文章于 2023-04-11 14:35:02 发布
阅读量274 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xing930408/article/details/106667457
版权

HTTPS只验证服务器的SSL握手过程(客户端验证服务器端)过程,参考这篇文章

https://www.jianshu.com/p/c2bf75485c15

假定客户端叫做爱丽丝,服务器叫做鲍勃,其验证步骤为:

  • 爱丽丝(浏览器)给出协议版本号、一个客户端生成的随机数(随机数A),以及客户端支持的加密方法。
  • 鲍勃(服务器)确认双方使用的加密方法,并给出数字证书、以及一个服务器生成的随机数(随机数B)。
  • 爱丽丝(浏览器)确认数字证书有效,然后生成一个新的随机数(随机数C),并使用数字证书中的公钥,加密这个随机数,发给鲍勃(服务器)。
  • 鲍勃(服务器)使用自己的私钥,获取爱丽丝(浏览器)发来的随机数(随机数C)
  • 爱丽丝(浏览器)和鲍勃(服务器)根据约定的加密方法,使用前面的三个随机数(A,B,C),生成"对话密钥"(session key),用来加密接下来的整个对话过程。

这篇文章也解释的比较详细,https://www.jianshu.com/p/1429b12a5519

根据上面的描述,有两个问题:

1.客户端如何检测数字证书是合法的并是所要请求的公司的?

2.数字证书中的公钥在哪里?

根据这些问题,找到了这篇文章https://blog.csdn.net/luluyo/article/details/88723701,有如下解释。

三、HTTPS运行原理
我们可以通过4个问题彻底理解HTTPS的运行原理,首先要从数字证书开始说起。

HTTPS的安全性主要依赖于对数字证书的验证以及非对称加密机制,细看步骤3),客户端具体是如何判断证书的合法性的?

先来看看数字证书都有哪些内容
Issuer--证书的发布机构
发布证书的机构,指明证书是哪个公司创建的(并不是指使用证书的公司)。出了问题具体的颁发机构是要负责的

Valid from,Valid to--证书的有效期
证书的使用期限。过了这个期限证书就会作废,不能使用。

Public key--公钥
刚开始的时候介绍过公钥的概念,用于对消息加密的。

Subject--主题
证书是颁发给谁了,一般是个人或公司名称或机构名称或公司网站的网址。

Signature algorithm--签名所使用的算法
数字证书的数字签名所使用的加密算法,根据这个算法可以对指纹解密。指纹加密的结果就是数字签名。

Thumbprint,Thumbprint algorithm--指纹以及指纹算法(一种HASH算法)
指纹和指纹算法会使用证书机构的私钥加密后和证书放在一起。主要用来保证证书的完整性,确保证书没有修改过。使用者在打开证书时根据指纹算法计算证书的hash值,和刚开始的值一样,则表示没有被修改过。

a)
绕了一大圈,问题回来了,客户端如何检测数字证书是合法的并是所要请求的公司的?

首先应用程序读取证书中的Issuer(发布机构),然后会在操作系统或浏览器内置的受信任的发布机构中去找该机构的证书(为什么操作系统会有受信任机构的证书?先看完这个流程再来回答)。如果找不到就说明证书是水货,证书有问题,程序给错误信息。如果找到了,或用户确认使用该证书。就会拿上级证书的公钥,解密本级证书,得到数字指纹。然后对本级证书的公钥进行数字摘要算法(证书中提供的指纹加密算法)计算结果,与解密得到的指纹对比。如果一样,说明证书没有被修改过。公钥可以放心使用,可以开始握手通信了。

b)
接下来解答操作系统为什么会有证书发布机构的证书?

其实证书发布机构除了给别人发布证书外,自己也有自己的证书。在操作系统安装好时,受信任的证书发布机构的数字证书就已经被微软安装在操作系统中了,根据一些权威安全机构的评估,选取一些信誉很好并且通过一定安全认证的证书发布机构,把这些证书默认安装在操作系统中并设为信任的数字证书。发布机构持有与自己数字证书对应的私钥,会用这个私钥加密所有他发布的证书及指纹整体作为数字签名。

还有一个问题,如果没有有效的证书,HTTPS连接是否加密的?参考这篇文章https://www.zhihu.com/question/300285738https://blog.csdn.net/abinge317/article/details/51791856

简单来说,如果客户端验证服务端的证书无效,此时通信过程仍然加密。

https证书有两个作用,一个是认证,一个是加密会话。

加密会话其实和证书关系不大,它是由客户端与服务器协商出来的。它可能会用到证书,比如用RSA算法协商session key的时候,就是用证书的公钥加密后发给服务器。而使用DH算法时可以不用证书。后续的会话都是用session key加密的,不会用证书的公钥,私钥加密。

证书主要的作用还是认证,让你可以确定服务器的真伪。

服务器没有有效的证书,就是证书不是有效的ca签发的,它不能证明服务器是真的,存在安全风险。一般浏览器会阻止你访问。如果你执意要访问,后续的流量都是加密的,但是并不安全。

验证数字签名的过程,参考https://www.jianshu.com/p/29e0ba31fb8d 

zhangustb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PKIX path building failed解决java获取https的时遇到的证书问题
07-02
此外,对于自动化部署环境,建议编写脚本自动执行上述步骤以简化操作流程。 如果你按照上述步骤操作后仍然遇到问题,请确保证书是有效的,并且确保存储证书的路径以及命令参数都正确无误。如果有任何疑问或遇到问题...
spring MVC疑问-项目示例
04-07
当请求到达DispatcherServlet时,它会通过HandlerMapping找到匹配的处理器,然后调用HandlerAdapter来执行处理器的方法。处理完成后,返回ModelAndView对象,其中包含逻辑视图名和模型数据。最后,ViewResolver会...
SSL的流程
u010068160的博客
08-07 511
1.加载SSL库 SSL_load_error_strings(); SSLeay_add_ssl_algorithms(); 2.加载CA证书和私钥文件 SSL_CTX*ctx=SSL_CTX_new(SSLv23_server_method()); SSL_CTX_use_certificate_file(ctx,CA_CERT,SSL_FILETYPE_PEM) SSL_CTX_set_default_passwd_cb_userdata(ctx...
SSL / TLS 协议运行机制详解
最新发布
u014066037的博客
04-11 297
pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret作为密钥就不合适了,因此必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。这里需要注意的是,客户端发送的信息之中不包括服务器的域名。
http://ttaa.210997.com之后跳转https://hao.360.cn/?src=lm&ls=n5334812d99解决办法
热门推荐
SuperNick_
12-05 2万+
这几天在网上下载一款了比较的锤子游戏,然后开始游戏的时候各种网页加载在桌面上,删了又重新出现,重复了几次之后此现象没有发生。游戏中... 然后打开浏览器发现有些慢,看了一下地址栏发现请求的URL路径不对,然后就跳转到360导航页面。因为不喜欢首页有太多内容的缘故就一直在网上解决问题,想办法换掉首页,无论在浏览器重新设置还是在注册表里面修改,发现都不起作用。结果无意间我看了图标的属性发现文件位置那里
响应式可视化大屏koi-screen(仅PC端)
qq_46856619的博客
09-06 4612
项目: koi-screen可适应大屏(仅PC端) 1、亲测自适应15.6寸至55寸大屏自适应,不是这个尺寸区间的并未进行测试,预测70寸屏幕也可以自适应。 2、采用Vue2.0、ElementUI、Axios、ECharts、DataV和Flex布局等技术进行构建。 3、根据适应浏览器大小而进行自适应,自适应Echarts图表,字体和图标。 4、gitee地址:https://gitee.com/BigCatHome/koi-screen
Squid代理实现ACL访问控制、日志分析及反向代理配置
u014042047的博客
09-08 718
文章目录一、ACL访问控制二、实验一:使用ACL列表实现访问控制三、实验二:Squid日志分析工具——Sarg四、Squid反向代理 一、ACL访问控制 ACL访问控制方式:根据地址、目标URL、文件类型等定义列表 acl 列表名称 列表类型 列表内容... 针对已定义的acl列表进行限制 http_access allow或deny 列表名称... ACL规则优先级 一个用户访问代理服务器时,Squid会顺序匹配Squid中定义的所有规则列表,一旦匹配成功,立即停止匹配 所有规则都不匹配
TcloudServer:Tcloud云测平台平台服务,新地址:https
04-01
统一定制化的流程系统,管理执行者工作效率,任务提醒,方便快捷查看“我的” ”相关任务,使需求->开发->测试->验收->发布更高效。 二,为什么要开发Tcloud? 1. 目前使用的需求,issue管理工具非常之多,如jira,...
Autoware.Auto和矢量图绘制工具Unity 3D安装配置
07-02
无人驾驶从初学到精通,基于Autoware开源系统带你畅游自动驾驶SLAM、感知、定位、决策、路径规划、执行等关键模块。 Autoware.Auto安装全流程及相关问题解决方案如下: //Autoware.Auto配置 1....
Seller Shortcuts-crx插件
04-03
语言:English (UK) 此扩展是针对亚马逊卖家的工作流程优化工具。 此扩展是针对亚马逊卖家的工作流程优化小工具。...如有任何疑问或建议,请访问https://sellertoolsreviews.com/go/sellershortcuts/
浏览器、HTTP、SSL、HTTPS执行流程
lulitianyu的专栏
01-27 3591
浏览器、HTTP、SSL、HTTPS执行流程 当在浏览器中输入URL后,页面加载完成的过程中都发生了什么事情 1、解析URL 判断URL是否是合法的URL,如果URL不合法,则调用默认的搜索引擎,直接把输入的内容作为要搜索的内容进行搜索,如果URL合法,则继续下一步。 检查这些请求是HTTPS还是HTTP,如果是HTTPS的话则使用HTTPS协议进行访问,否则使用HTTP协议发送。有些情况下,第
我是这样理解HTTP和HTTPS区别的
weixin_30547797的博客
06-01 297
为何要用https? http协议的缺点 通信使用明文,内容可能被窃听(重要密码泄露) 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造) 无法证明报文的完整性,有可能已遭篡改(运营商劫持) 用https能解决这些问题么? https是在http协议基础上加入加密处理和认证机制以及完整性保护,即http+加密+认证+完整性保护=https https并非应用层的一种新协议,只是http通信接口...
HTTPS
jjavaboy的专栏
07-13 739
HTTPS通信协议是建立在 SSL / TLS协议之上。 转自: http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL/TLS协议运行机制的概述 先简要介绍SSL/TLS协议的运行机制,设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。 一、作用 不使用SSL/TLS的H
SSL协议流程图解(转载+个人记录)
VinK1的博客
07-24 2239
一、SSL协议发展历程 发展历程详见百度&该文章参考 大牛文章 只为个人纪录查看用 二、具体流程: 爱丽丝为客户端,鲍勃为服务器端 第一步,爱丽丝给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。 第二步,鲍勃确认双方使用的加密方法,并给出数字证书、以及一个服务器生成的随机数(Server random)。 第三
图解SSL协议
涛涛baby
06-30 647
转载的地址:http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html 一、SSL协议的握手过程 开始加密通信之前,客户端和服务器首先必须建立连接和交换参数,这个过程叫做握手 假定客户端叫做爱丽丝,服务器叫做鲍勃,整个握手过程可以用下图说明 握手阶段分成五步: 第一步:爱丽丝给出协议版本号、一个客户端生成的随机数,以及
图解SSL/TLS协议
NowOrNever
11-11 1万+
转载http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
图解Http与Https
ZCC的专栏
04-13 2152
一、TCP报文格式 (1)序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。 (2)确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效,Ack=Seq+1。 (3)标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下: (A)URG:紧急指针(urgent pointer)有效。 (B)ACK:确...
基于TLS1.1协议学习笔记
做你所想,想你所做。
11-24 3474
SSLSSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
Https协议运行过程
Jeson 笔记
04-27 303
Https协议运行过程 文章目录Https协议运行过程SSL握手目的SSL握手示例图SSL握手过程1. Client Hello2. Server Hello3. Certficate4. Certificate Request(可选)5. Server key exchange(可选)6. Server Hello Done7. Certificate(可选)8. Client key exch...
深入解析Flink核心执行流程
"透过源码看懂Flink核心框架的执行流程.pdf" Flink是一个开源的大数据处理框架,以其高效、低延迟的流处理能力在大数据领域占据重要位置。这份文档详细介绍了如何通过源码理解Flink的核心执行流程,帮助读者深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值