HTTPS 原理记录

最新推荐文章于 2024-09-13 12:02:40 发布
最新推荐文章于 2024-09-13 12:02:40 发布
阅读量196 收藏
点赞数
分类专栏: 网络 文章标签: https sha1 hash ssl tls
原文链接:https://zhuanlan.zhihu.com/p/27395037
版权

1、HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。

2、HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
在这里插入图片描述
如上图所示 HTTPS 相比 HTTP 多了一层 SSL/TLS

加密算法:
据记载,公元前400年,古希腊人就发明了置换密码;在第二次世界大战期间,德国军方启用了“恩尼格玛”密码机,所以密码学在社会发展中有着广泛的用途。

1、对称加密

有流式、分组两种,加密和解密都是使用的同一个密钥,
例如:DES、AES-GCM、ChaCha20-Poly1305等。
双方拥有相同的密钥,信息得到安全传输,但此种方式的缺点是:
(1)不同的客户端、服务器数量庞大,所以双方都需要维护大量的密钥,维护成本很高
(2)因每个客户端、服务器的安全级别不同,密钥极易泄露

2、非对称加密

加密使用的密钥和解密使用的密钥是不相同的,分别称为:公钥、私钥,公钥和算法都是公开的,私钥是保密的。非对称加密算法性能较低,但是安全性超强,由于其加密特性,非对称加密算法能加密的数据长度也是有限的。
例如:RSA、DSA、ECDSA、 DH、ECDHE
但其也存在缺点
公钥是公开的(也就是黑客也会有公钥),私钥加密的信息,如果被黑客截获,其可以使用公钥进行解密,获取其中的内容。

3、哈希算法

将任意长度的信息转换为较短的固定长度的值,通常其长度要比信息小得多,且算法不可逆。

例如:MD5、SHA-1、SHA-2、SHA-256 等

4、数字签名

签名就是在信息的后面再加上一段内容(信息经过hash后的值),可以证明信息没有被修改过。hash值一般都会加密后(也就是签名)再和信息一起发送,以保证这个hash值不被修改

一、HTTP 访问过程

在这里插入图片描述
HTTP请求过程中,客户端与服务器之间没有任何身份确认的过程,数据全部明文传输,“裸奔”在互联网上,所以很容易遭到黑客的攻击。
客户端发出的请求很容易被黑客截获,如果此时黑客冒充服务器,则其可返回任意信息给客户端,而不被客户端察觉,所以我们经常会听到一词“劫持”。

二、HTTP 向 HTTPS 演化的过程

第一步:为了防止上述http数据被黑客劫持现象的发生,人们想到一个办法:对传输的信息加密(即使黑客截获,也无法破解),但缺点:
1、双方都需要维护大量的密钥,维护成本很高
2、因每个客户端、服务器的安全级别不同,密钥极易泄露

第二步:既然使用对称加密时,密钥维护这么繁琐,那我们就用非对称加密试试,但也存在缺点:
公钥是公开的(也就是黑客也会有公钥),私钥加密的信息,如果被黑客截获,其可以使用公钥进行解密。
第三步:非对称加密既然也有缺陷,那我们就将对称加密,非对称加密两者结合起来,
具体过程:
1、客户端将“对称加密的算法和对称密钥”用公钥进行加密,然后传给服务器
2、服务器收到信息后,用私钥解密,提取出对称加密算法和对称密钥后,服务器说:(好的)对称密钥加密
3、后续两者之间信息的传输就可以使用对称加密的方式了
但也有问题:
(1)客户端如何获得公钥
(2)如何确认服务器是真实的而不是黑客
第四步:获取公钥与确认服务器身份
获取公钥时
(1)提供一个下载公钥的地址,回话前让客户端去下载。(缺点:下载地址有可能是假的;客户端每次在回话前都先去下载公钥也很麻烦)
(2)回话开始时,服务器把公钥发给客户端(缺点:黑客冒充服务器,发送给客户端假的公钥)

那有木有一种方式既可以安全的获取公钥,又能防止黑客冒充呢? 那就需要用到终极武器了:SSL 证书(https://console.upyun.com/login/):
在这里插入图片描述

如上图所示,在第 ② 步时服务器发送了一个SSL证书给客户端,SSL 证书中包含的具体内容有:

(1)证书的发布机构CA

(2)证书的有效期

(3)公钥

(4)证书所有者

(5)签名

………

3、客户端在接受到服务端发来的SSL证书时,会对证书的真伪进行校验,以浏览器为例说明如下:

(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验

(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发

(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。

(4)如果找到,那么浏览器就会从操作系统中取出 颁发者CA 的公钥,然后对服务器发来的证书里面的签名进行解密

(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比

(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充

(7)此时浏览器就可以读取证书中的公钥,用于后续加密了

4、所以通过发送SSL证书的形式,既解决了公钥获取问题,又解决了黑客冒充问题,一箭双雕,HTTPS加密过程也就此形成

所以相比HTTP,HTTPS 传输更加安全

(1) 所有信息都是加密传播,黑客无法窃听。

(2) 具有校验机制,一旦被篡改,通信双方会立刻发现。

(3) 配备身份证书,防止身份被冒充。

总结
综上所述,相比 HTTP 协议,HTTPS 协议增加了很多握手、加密解密等流程,虽然过程很复杂,但其可以保证数据传输的安全。

开心码农1号
关注
专栏目录
HTTP与HTTPS记录
野生松
03-08 237
HTTP/1 可靠传输,HTTP 基于 TCP/IP。 无状态,这里的状态是指通信过程的上下文信息,而每次 http 请求都是独立、无关的,默认不需要保留状态信息。这可以说是它的优点又是缺点。因为不需要保存连接上下文信息,无状态反而减少了网络开销,从这点看是优点。但是在需要长连接的场景中,需要保存大量的上下文信息,以免传输大量重复的信息,那么这时候无状态就是 http 的缺点。 明文传输,即协议里的报文(主要指的是头部)不使用二进制数据,而是文本形式。 队头阻塞问题,当
SVCB/HTTPS DNS 记录介绍
purezhang的专栏
06-08 2887
IETF 正在为 DNS 引入一种新型记录,名为 SVCB/HTTPS。这个 SVCB/HTTPS 记录可以解决一些很重要的问题,我一直关注该标准的推进工作。今天就给大家介绍一下 SVCB/HTTPS 记录。 本文同步发表在个人网站https://taoshu.in/dns-svcb-https.html 1987 CNAME 记录 DNS 系统最早在 1987 年就支持 CNAME 记录(RFC 1034)。CNAME全称 canonical name,中文意思是权威名称。举个例子,我们可以将a..
安全https,dns笔记整理
aksu747的博客
12-31 570
笔记
五分钟搞定 HTTPS 配置,二哥手把手教
weixin_34072637的博客
05-09 1584
01、关于 FreeSSL.cn FreeSSL.cn 是一个免费提供 HTTPS 证书申请、HTTPS 证书管理和 HTTPS 证书到期提醒服务的网站,旨在推进 HTTPS 证书的普及与应用,简化证书申请的流程。 当然了,我看重的不是免费,而是 FreeSSL 使用起来非常人性化。我是一个计算机常识非常薄弱的程序员(羞愧一下),但通过 FreeSSL,我竟然可以独自完成 Tomcat 的 HTT...
https下访问域名记录
beyond的博客
11-25 544
linux下生成CA证书遇到问题记录 1:unable to open ‘/etc/pki/CA/index.txt’ 解决办法:touch /etc/pki/CA/index.txt 2:提示error while loading serial number,一般是因为serial文件中没有赋初值 解决办法 [root@test1 ~]#cd/etc/pki/CA [root@test1 CA]...
计算机组成原理:最详细笔记
热门推荐
杰之行的博客
01-21 37万+
前言 参考:《王道计算机组成原理》学习笔记总目录+思维导图 2019 王道考研 计算机组成原理 第一章 计算机系统概述 1.1 计算机发展历程 1.1.1 计算机硬件的发展 计算机系统=硬件+软件 计算机硬件的发展: 第一代计算机:(使用电子管), 第二代计算机:(使用晶体管), 第三代计算机:(使用较小规模的集成), 第四代计算机:(使用较大规模的集成), 已经经历了4代,计算机的速度越来越快,并且体积变得越来越小。 发展趋势:更微型、多用途;更巨型、超高速......
HTTPS工作原理
morris
11-23 2万+
HTTPS工作原理 在传统的HTTP协议中,在网络上传播的信息有可能被窃听,篡改。而HTTPS的引入,就是为了解决这些安全问题,下面我们就来探究一下HTTPS的工作原理。 什么是HTTPS HTTPS是一种以安全为目标的HTTP协议,简单来说就是HTTP的安全版。即在HTTP层下面加入SSL层,SSL层负责加解密,HTTPS的安全基础是SSLSSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保
HTTPS原理、使用方法及安全威胁
陆业聪
03-24 2412
本文介绍了HTTPS协议的实现方式和启用步骤,以及其相比HTTP的安全优势。同时,也探讨了HTTPS可能面临的安全威胁,并强调了定期进行安全检查和提高网络安全意识的重要性。
https原理+http状态码+html5 --网络安全基础
m0_56501091的博客
01-03 6640
html5+https、网页元素的属性、HTML字符编码/HTML实体编码、dns的工作原理https原理--RSA密钥协商算法过程、TLS的三次握手、验证服务端的合法性,签名、加密、状态码、GET、POST传参区别,url的编码、链接标签
便携式GPS数据记录仪(原理图+PCB+)-电路方案
04-22
电路图参考了elm-chan的...便携式GPS数据记录仪电路原理图截图: 附件内容包括更改后的GPS记录仪源代码以及PCB源文件。(详见附件内容) 注意:该设计资料来自阿莫论坛,仅供网友参考学习,不可用于商业用途。
HTTPS工作原理及报文讲解
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。 SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务..
深入浅出解读http和https及ACME协议工作原理(另附域名证书申请教程)
Null的博客
05-16 2917
介绍http和https有什么区别(说人话),https证书如何免费申请,ACME协议是什么
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
记录一次http升级https的过程
记录学习点滴
08-10 1236
之前一直都没有自己配置过https,刚好前段时间阿里云的客服打电话建议把项目从http升级到https,提高安全性。于是就到阿里云上申请一个免费的证书,今天刚好有空,就上去配置一下,本来以为很简单,没想到花了半天的时间,记录一下,供有需要的人借鉴一下,让别人少踩坑。 一. 准备工作 首先你需要一个域名及证书,这些我都是直接在阿里云上购买的,我使用的是免费的证书,购买域名及申请证书直接可...
阿里云服务器配置HTTPS证书记录
风卷过的天空就会变蓝~
06-29 1万+
最近公司网站准备接入支付,需要将网站升级成https协议访问。但是运维辞职了,临时充当运维角色,负责https服务器证书的配置。 https证书配置步骤如下: 1,进入阿里云管理控制台-安全(云盾)-证书服务-我的订单 在我的订单中找到在阿里云购买的服务器证书,点击【推送】按钮,将证书推送到 负载均衡 中 2.再进入菜单:云计算基础服务-负载均衡-证书管理
ngrok | 内网穿透,支持 HTTPS、国内访问、静态域名
追风2019
09-07 1285
当我们需要把本地开发的应用展示给外部用户时,常常会因为无法直接访问而陷入困境。就为了展示一下,买服务、域名,搭环境,费钱又费事。那有没有办法,让客户直接访问自己本机开发的应用呢?这种需求场景这么多,当然有现成的技术 —— 内网穿透。内网穿透是一种网络技术,它允许外部互联网用户访问部署在本地网络(内网)中的服务或设备。通常,家庭或企业网络都位于内网,连接到外部互联网需要通过 NAT(网络地址转换)或者路由器来实现。NAT 问题。
HTTP与HTTPS的区别
最新发布
liiiiiiiiii123的博客
09-13 896
HTTPS 需要进行加密和解密操作,以及额外的证书验证等步骤,所以它的传输效率相对 HTTP 会低一些。这可能会导致页面加载速度稍慢,比如在加载一个内容丰富的网页时,使用 HTTP 可能会比使用 HTTPS 更快一些。运行 HTTPS 的服务器需要更多的计算资源来进行加密和解密操作,以及处理证书相关的任务。客户端会验证证书的有效性,如果证书无效或存在问题,客户端会发出警告,提醒用户可能存在安全风险。例如,一些大型的新闻媒体网站现在也都使用了 HTTPS,以保护用户的隐私和数据安全。三次握手之后便可进行。
SpringSecurity原理解析(五):HttpSecurity 类处理流程
liang8999的博客
09-11 886
结合 HttpSecurity 类中实现 SecurityBuilder 接口时的泛型是什么,就知道在 HttpSecurity 类。由 HttpSecurity 的定义可以发现,在 HttpSecurity 类中 SecurityBuilder 指定的泛型是。一个默认实现,所以 DefaultSecurityFilterChain 是一个拦截器链,所以在 HttpSecurity。在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置。
【已解决】请教 “Sa-Token 集成 xxl-job,报错:非 web 上下文无法获取 HttpServletRequest” 如何解决
qq_58159506的博客
09-11 408
请教 “xxl-job 定时任务调度成功,但业务方法执行失败” 如何解决。
深入解析HTTPSSSL)的工作流程
"HTTPSSSL)工作原理" HTTPS(安全超文本传输协议)是互联网上应用最广泛的一种安全通信协议,它结合了HTTP协议与SSL/TLS(安全套接层/传输层安全)协议,为数据传输提供了加密、服务器身份验证以及数据完整性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值