TLS,SSL,HTTPS with Python

最新推荐文章于 2023-10-07 09:45:27 发布
最新推荐文章于 2023-10-07 09:45:27 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: Python

需要了解的背景知识:

  • 术语 HTTPS,SSL,TLS
  • 长连接与短连接的关系
  • 了解 CA 证书
  • 基本流程

一.术语扫盲

1.什么是SSL?

SSL(Secure Sockets Layer, 安全套接字),因为原先互联网上使用的 HTTP 协议是明文的,存在很多缺点——比如传输内容会被偷窥(嗅探)和篡改。发明 SSL 协议,就是为了解决这些问题。

2.那么什么是TLS呢?

到了1999年,SSL 因为应用广泛,已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名称改为 TLS(是“Transport Layer Security”的缩写),中文叫做“传输层安全协议”。

很多相关的文章都把这两者并列称呼(SSL/TLS),因为这两者可以视作同一个东西的不同阶段。

3.那么什么是HTTPS呢?

HTTPS = HTTP + SSL/TLS, 也就是 HTTP over SSL 或 HTTP over TLS.这是后面加 S 的由来 

相对于HTTP:

  • http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  • http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

二.长连接VS短连接

HTTP对TCP的连接使用分为:

  • 短连接
  • 长连接(又称“持久连接”,或“Keep-Alive”或“Persistent Connection”)

如果是短连接的话,针对每个HTML资源,就会针对每一个外部资源,分别发起一个个 TCP 连接。相反,如果是“长连接”的方式,浏览器也会先发起一个 TCP 连接去抓取页面。但是抓取页面之后,该 TCP 连接并不会立即关闭,而是暂时先保持着(所谓的“Keep-Alive”)。然后浏览器分析 HTML 源码之后,发现有很多外部资源,就用刚才那个 TCP 连接去抓取此页面的外部资源。

注意:

  • 在 HTTP 1.0 版本,【默认】使用的是“短连接”(那时候是 Web 诞生初期,网页相对简单,“短连接”的问题不大)
  • 在 HTTP 1.1 中,【默认】采用的是“Keep-Alive”的方式。

三.HTTPS的设计

HTTPS的设计要兼容HTTP

  • HTTPS 还是要基于 TCP 来传输
  • 单独使用一个新的协议,把 HTTP 协议包裹起来(所谓的“HTTP over SSL”,实际上是在原有的 HTTP 数据外面加了一层 SSL 的封装。HTTP 协议原有的 GET、POST 之类的机制,基本上原封不动)

关于HTTPS的性能,为了确保性能,SSL 的设计者至少要考虑如下几点:

  • 如何选择加密算法(“对称”or“非对称”)?
  • 如何兼顾 HTTP 采用的“短连接”TCP 方式?

四.简单运行过程

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

问题:

  • 如何保证公钥不被篡改?:解决方法:将公钥放在数字证书中。只要证书是可信的,公钥就是可信的。
  • 公钥加密计算量太大,如何减少耗用的时间?解决方法:每一次对话(session),客户端和服务器端都生成一个”对话密钥”(session key),用它来加密信息。由于”对话密钥”是对称加密,所以运算速度非常快,而服务器公钥只用于加密”对话密钥”本身,这样就减少了加密运算的消耗时间。

因此,SSL/TLS协议的基本过程是这样的:

  • 客户端向服务器端索要并验证公钥。
  • 双方协商生成”对话密钥”。
  • 双方采用”对话密钥”进行加密通信。

如下图解:

五.详解运行过程

如下图示:

注意的是,”握手阶段”的所有通信都是明文的

1.客户端发出请求(ClientHello)

C向S提供信息如下:

  • 支持的协议版本,比如TLS 1.0版。
  • 一个客户端生成的随机数,稍后用于生成”对话密钥”。
  • 支持的加密方法,比如RSA公钥加密。
  • 支持的压缩方法。

2.服务器回应(SeverHello)

服务器收到客户端请求后,向客户端发出回应,这叫做SeverHello。服务器的回应包含以下内容。

  • 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。
  • 一个服务器生成的随机数,稍后用于生成”对话密钥”。
  • 确认使用的加密方法,比如RSA公钥加密。
  • 服务器证书。

除了上面这些信息,如果服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供”客户端证书”。

3.客户端回应

客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。

如果证书没有问题,客户端就会从证书中取出服务器的公钥。然后,向服务器发送下面三项信息。

  • 一个随机数。该随机数用服务器公钥加密,防止被窃听。
  • 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
  • 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

现在总共有3个随机数,第三个又称”pre-master key”,有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自 生成 本次会话 所用的 同一把 “会话密钥”。

4.服务器的最后回应

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的”会话密钥”。然后,向客户端最后发送下面信息。

  • 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
  • 服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用”会话密钥”加密内容。

六.Https的劣势

不完整总结如下:

  • 对数据进行加解密决定了它比http慢
  • https协议需要到CA申请证书。

七.Python操作SSL

首先创建证书

openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem

实例代码在: ssl_demo

七.参考:

  • 聊聊HTTPS和SSL/TLS协议
  • 图解HTTPS
  • SSL/TLS协议运行机制的概述
hNicholas
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu/Deepin下Python3.8出现SSL错误的解决方案
01-08
WARNING: pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available. 网上的方法都是在CentOS下进行的,而我用的是Deepin系统,也就是基于Ubuntu/Debian的发行版...
python ssl_Python网络编程中的TLS/SSL
weixin_39616477的博客
11-29 1386
传输层安全协议(TLS)算是如今互联网上应用最广泛的加密方法。TLS的前身是安全套接层(SSL),现代互联网的许多协议基础协议都是使用TLS来验证服务器身份,并保护传输过程中的数据。TLS能保护的信息包括:与请求URL之间的HTTPS链接以及以及返回内容、密码或cookie等可能在套接字双向传递的认证信息。下面的信息无法使用TLS保护:本机与远程主机都是可见的,地址信息在每个数据包的IP头信息中以...
python tls_适用于Python的统一TLS API
cumei1658的博客
07-09 799
python tlsI have just proposed PEP 543: A Unified TLS API for Python to the python-dev mailing list for discussion. While the bulk of the technical correspondence will happen on that mailing list, I w...
python网络编程——TLS/SSL
qq_40909772的博客
03-29 5031
1.TLS简介。        TLS的前身是 安全套接层 ,是传输层安全协议。TLS能保护的信息包括: 与请求URL之间的HTTPS连接以及返回内容。 密码或cookies等可能在套接字双向传递的任意认证信息。        但TLS并不是万能的它也有不...
Python】深入理解TLS协议(附Python实现)
qq_20623849的博客
02-21 2133
深入理解TLS协议
深入理解PythonTLS机制和Threading.local()
sinat_28375239的博客
04-19 73
深入理解PythonTLS机制和Threading.local() https://zhuanlan.zhihu.com/p/60126952
python3中pip3安装出错,找不到SSL的解决方式
12-23
pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available. Could not fetch URL https:*******: There was a problem confirming the ssl certificate: Can't ...
解决Python3.7.0 SSL低版本导致Pip无法使用问题
12-17
pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available。 原因是python3.7为了安全性考虑,要求使用openssl 1.0.2之后的版本。但是自带的openssl,版本是...
pem:使用Python轻松解析PEM文件
05-01
pem:轻松解析PEM文件 pem是许可的Python模块,用于解析和拆分,即Base64编码的DER密钥和证书。 它在Python 2.7和3.5+上运行,没有依赖关系,并且不会尝试以任何方式解释证书...Certificate(PEM string with SHA-1
python3.6.5参考手册 chm
04-15
Python参考手册,官方正式版参考手册,chm版。以下摘取部分内容:Navigation index modules | next | Python » 3.6.5 Documentation » Python Documentation contents What’s New in Python What’s New In ...
深入理解python运行机制_深入理解PythonTLS机制和Threading.local()
weixin_39722563的博客
12-07 102
1.背景介绍我之前写过一个关于PythonTLS机制的浅浅析,大家可以参考这个文章,首先,我们再来熟悉熟悉什么是TLS机制。####1.1 Thread Local Storage(线程局部存储)这个概念最早是相对于全局变量来说的,就是我们在编程的时候,会涉及到希望所有线程都能够共享访问同一个变量,在Python/Go/C中,我们就可以定义一个全局变量,这样Global Variable对多个线...
python读取数据校验数据_如何使用Scapy Python读取数据包TLS元数据
weixin_39964590的博客
11-28 399
How can I read TLS information (record length, record type...) from a packet using scapy. I have used load_layer('tls') and I'm able to read some information when there is a single TLS record in a pac...
python socket中实现SSL/TLS认证
Saki_Python的博客
10-07 829
官话说SSL是安全套接层(secure sockets layer),TLSSSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
Python网络编程基础笔记-使用TLS加密email
u010958858的博客
09-01 268
# from: http://blog.chinaunix.net/space.php?uid=199788&do=blog&cuid=422492 # -*- coding:cp936 -*- #!/usr/bin/env python import sys,smtplib """ 使用smtp.sina.com作为邮件发送服务器 1.使用TLS进行加密 2.使用ehlo,如果...
python创建及使用一个tls_使用TLSPython进行身份验证
weixin_42524013的博客
01-15 1224
一句话:是的,这是完全可能的,所有必要的东西都是移植到Python3—我在Mac上测试了Python3.4下的所有内容工作顺利。在简单的回答是“use ^{}”但考虑到要达到这一点,需要进行大量的设置可能,我已经构建了一个完全有效的示例,您应该能够试一试,再接再厉。在对于后代来说,首先需要生成一些客户端证书由同一CA签署。您可能已经完成了此操作,但其他人可以了解答案并自己尝试(这样我就可以测试我的...
python完美突破tls/ja3(大树乘凉版)
weixin_44862184的博客
07-10 3094
python完美突破tls/ja3(大树乘凉版),直接使用大佬编译好的pycurl库来突破 tls、ja3指纹的检测(真·有手就行系列)。
java与python数据传输的加密
蚂蚁搬家的博客
02-01 1477
这段时间在做公司项目时,需要涉及到Java与Python之间,传输数据,前期为了先实现效果不涉及任何加密,因为我们做的项目中有涉及到支付的信息,所以必须要加密。后期对项目中所有与支付相关的部分全部进行了加密。 任务描述 支付这边使用的是Java,前端使用的是python。最开始的时候我自己准备的加密/解密的代码可以自己加密,自己解密,前端那边的也是OK的。但是与前端对接时发现这样是行不通的,前
node-v9.2.1-linux-x86.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
pip is configured with locations that require TLS/SSL, however the ssl module in Python is not
03-14
当你在使用pip时,出现"pip is configured with locations that require TLS/SSL, however the ssl module in Python is not"的错误提示,这通常是由于Python环境中缺少TLS/SSL支持所导致的。 要解决这个问题,你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值