HTTPS
- HTTPS并非应用层的一种新协议,只是HTTP通信结果口部分用SSL和TLS协议代替。通常HTTP直接和TCP通信,当用SSL时,则变成先和SSL通信,再由SSL和TCP通信。
- 我们一般加解密需要有密钥,传统加密方式只要密钥被人偷了就能破解。这种加密方式一般叫做共享密钥加密,我看有些资料叫对称加密。
- 有种加密方式叫非对称加密或者叫公开密钥加密。它是把私钥自己保管,公钥发给别人,对方使用公钥加密,自己用私钥解密。有人可能不懂什么公钥私钥,简单说,大家都知道MD5这种摘要算法,我们用MD5加密后一般是无法解密的,这就像我们拿公钥加密后我们没法进行解密。但是服务器凭借私钥是可以解密的。就像MD5通过暴力对比是可以解出来的,服务器的私钥就像MD5保存的一张密码表一样。但实际非对称加密的原理不是摘要算法,而是通过因式分解。所以私钥加密的内容公钥是可以解密的。
- 公开密钥加密速度很慢而共享密钥加密很快,所以一般采取混合使用的方式,先利用公开密钥加密让客户端拿到共享密钥的密钥,后续通信就通过共享密钥进行。
- 但是客户端没法证明公钥的真伪,如果有人拿到服务器公钥,然后发送给客户端自己的公钥,后续内容即可被篡改。于是会有证书存在。服务器的公钥会给机构一份,机构会用自己私钥加密,然后会发公钥证书。服务器再把这些给客户端,客户端收到证书后会用机构公钥解密证书上内容,看是不是和发来公钥一致,从而确定公钥真伪。
- 但另一个问题是机构公钥不一定是真的,这就像鸡生蛋蛋生鸡一样总有漏洞。一般浏览器是内置机构公钥,所以公钥一开始客户端就有了。
- 事实上每个人都可以通过openSSL构建自己的认证机构,给自己颁服务器证书。一般这种证书没什么用,戏称“自签名证书”。浏览器访问时,就会提示该网站安全证书存在问题。
- 有一小部分浏览器会植入中级认证机构的证书,有些浏览器会把中级认证机构证书当自签名证书对待。
总结
- 这一章收获很多,特别时对HTTPS有了更深了解。不过书上写的也不算细,具体细节方面并不是特别清楚。
721
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
