网站开发那种语言,网站建设与管理是课程,服装网站设计策划,腾讯企业邮箱购买什么是 HTTPS#xff1f; HTTPS#xff08;HyperText Transfer Protocol Secure#xff09;是一种安全的通信协议#xff0c;用于在计算机网络上安全地传输超文本#xff08;如网页、图像、视频等#xff09;和其他数据。它是 HTTP 协议的安全版本#xff0c;通过使用加…什么是 HTTPS HTTPSHyperText Transfer Protocol Secure是一种安全的通信协议用于在计算机网络上安全地传输超文本如网页、图像、视频等和其他数据。它是 HTTP 协议的安全版本通过使用加密技术来保护通信的安全性和隐私性。 HTTP 是超文本传输协议信息是明文传输存在安全风险的问题。HTTPS 则解决 HTTP 不安全的缺陷在 TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议使得报文能够加密传输。HTTPS 在 TCP 三次握手之后还需进行 SSL/TLS 的握手过程才可进入加密报文传输。
HTTPS 解决了 HTTP 哪些问题
HTTP 由于是明文传输所以安全上存在以下三个风险
可以通过抓包获取用户的私密信息伪造服务器发送信息骗取钱财可以对报文进行篡改 HTTPS 在 HTTP 与 TCP 层之间加入了 SSL/TLS 协议可以很好的解决了上述的风险
信息加密交互信息无法被窃取。校验机制无法篡改通信内容篡改了就不能正常显示。身份证书证明服务器的可靠性。 HTTPS 是如何解决上面的三个风险的 混合加密的方式实现信息的机密性解决了窃听的风险。摘要算法的方式来实现完整性它能够为数据生成独一无二的「指纹」指纹用于校验数据的完整性解决了篡改的风险。将服务器公钥放入到数字证书中解决了冒充的风险。
1. 对称加密和非对称加密 在正式开始讲解加密的方式之前这里对「对称加密」和「非对称加密」做一些补充
对称加密双方持有相同的密钥加密和解密都是使用这个密钥
非对称加密服务器持有私钥而向客户端去分发公钥这两个密钥可以双向加解密的比如可以用公钥加密内容然后用私钥解密也可以用私钥加密内容公钥解密内容。
非对称加密算法常常用于**「私钥加密公钥解密」的方式**来验证 消息发送者 的方式比如常见的数字签名算法采用的就是这种方式大致流程是这样的
发送方使用自己的私钥对消息的摘要进行加密生成数字签名发送方将原始消息和数字签名一起发送给接收方接收方使用发送方的公钥对数字签名进行解密得到消息的摘要或哈希值。接收方使用相同的哈希函数对收到的消息进行摘要处理生成一个新的消息摘要。接收方将生成的本地摘要与解密得到的摘要进行比较以验证消息的完整性和真实性。
2. 混合加密
HTTPS 首先解决的是交互信息被窃取的问题即本次会话中发送的所有消息 只有 双方能够解读。
HTTPS 采用的是 对称加密 非对称加密 的混合方法来加密双方的通信。
为什么要采用混合加密的方法呢无论使用哪种方法双方都要去 互通 密钥既然有这个互通的环节那这个消息就有可能被拦截带来了伪造消息等风险。
所以所以要保证 正式对话 的时候使用的密钥是加密传递的。
当客户端向服务器发送信息的时候服务器会发送一个可以证明自己身份的 数字证书客户端可以从合法的数字证书中拿到 公钥用户接收到数字证书之后就会先去验证证书的有效性。验证成功后客户端就可以信任服务器的身份随后客户端生成一个随机的会话密钥并使用服务器发送的公钥对会话密钥进行加密。客户端发送这个会话密钥给服务器服务器收到客户端发送的加密后的会话密钥后使用私钥解密会话密钥。客户端和服务器使用已经建立的会话密钥来加密和解密传输的数据建立安全的通信通道。在建立了安全通信通道后后续的通信都将使用会话密钥进行加密和解密保证通信的安全性和隐私性。 如果对公钥理解不深的话很可能会有这样的疑问如果公钥被拦截那我不就可以假装这个用户给服务器发信息了吗 实际上公钥只是建立安全链接的方式并不代表用户的信息客户端的身份验证通常是在建立安全连接之后的一个步骤通过额外的验证机制来完成。这些机制可能包括使用用户名和密码进行身份验证、使用客户端证书进行身份验证等。 也就是拿到了公钥其实就是拿到给服务器建立连接的机会意义并不大。 3. 数字证书 实现客户端和服务器之间通信只有双方能解密但有没有可能这个服务器本身就是伪造的呢
我给一个假的服务器唰唰唰把我的个人信息都发过去了造成的危害就极大了。
其实要解决这个问题也很简单就是服务器要有证明自己身份的证书这个证书证明了它是一个合法合规的服务器如果使用这种服务器做一些违法的事情根据注册信息来溯源也会非常简单客户端可以根据这个证书来验证服务器的可靠性拿到数字证书验证完之后客户端就知道这个服务器靠谱可以发送信息了。
每个证书背后都要有一个权威的机构数字证书也不例外在计算机里这个权威的机构就是 CA 数字证书认证机构注册 CA 证书需要如下的信息
证书持有者的身份信息包括姓名、组织名称如果是组织、电子邮件地址等。这些信息将包含在数字证书的主体字段中。证书的密钥对包括公钥和私钥。公钥将包含在数字证书中而私钥将被持有者用于加密和解密通信。证书使用的目的例如身份验证、数据加密等。证书颁发机构CA的选择证书可以由公共 CA如 Let’s Encrypt、DigiCert 等或私有 CA组织内部的 CA签发。证书有效期指定证书的开始日期和到期日期。证书在到期日期之后将不再被认为是有效的。其他可选信息根据实际需求可能需要提供其他信息例如组织的注册号码、地址、电话号码等。
那还有个问题数字证书能否被伪造呢只要拿到上面的部分信息就可以伪造了那来看看哪些情况我们可以伪造证书笑
私钥泄露如果证书持有者的私钥被泄露攻击者可以使用该私钥签发伪造的数字证书。证书颁发机构CA被攻击如果攻击者能够入侵或操纵证书颁发机构CA他们可以签发伪造的数字证书。这种攻击可能包括对 CA 基础设施的入侵、社会工程攻击或其他形式的欺诈。中间人攻击攻击者可以在客户端和服务器之间插入自己的数字证书从而模拟客户端与服务器之间的通信。这种攻击称为中间人攻击通常用于窃听或篡改通信。
好像没有哪个是好实现的而且还不一定有效所以数字证书可以极大的保证通信的安全性。 4. 数字证书的签发和验证
证书签发流程
证书申请证书的申请者通常是服务器管理员或个人向证书颁发机构CA提交证书申请。申请通常包括证书持有者的身份信息、公钥等。身份验证CA 对证书申请者进行身份验证以确保申请者的身份信息是真实的和可信的。身份验证通常包括验证申请者的身份证明文件、组织信息等。生成密钥对如果身份验证通过CA 会生成证书持有者的密钥对包括公钥和私钥。私钥将由证书持有者保密而公钥将包含在证书中。生成证书请求CSR证书持有者生成一个包含公钥和身份信息的证书请求Certificate Signing RequestCSR并将其发送给 CA。证书签发CA 收到 CSR 后会对其进行验证确认证书持有者的身份和公钥信息。如果一切正常CA 将使用自己的私钥对证书请求进行签名生成数字证书。数字证书颁发CA 将签发的数字证书发送回给证书持有者数字证书包含了证书持有者的公钥、身份信息、证书有效期等。 数字证书的有效期结束后需要再次申请并获取新的数字证书以保持通信的安全性和有效性。 证书验证流程
接收数字证书验证者如客户端从通信对方如服务器处接收到数字证书。验证证书链验证者首先检查数字证书是否由受信任的 CA 签发。如果证书是由受信任的 CA 签发的则证书被认为是可信的。否则验证者会继续验证证书链直到找到根证书为止。验证证书的有效期验证者检查数字证书的有效期确保当前日期在证书的有效期内。验证证书的吊销状态验证者检查证书是否被吊销。这可以通过证书吊销列表CRL或在线证书状态协议OCSP来实现。验证数字签名验证者使用颁发 CA 的公钥来验证数字证书的数字签名。如果签名有效则可以确信证书内容没有被篡改。可选的附加验证根据实际需要验证者可能会进行其他验证例如验证证书中的主体信息是否与通信方匹配或者额外的验证证书中包含的其他信息。
签发证书的时候CA 使用签名加密的其实是通过证书信息生成的哈希值作为一个签名使用而不是加密整个证书用户通过公钥对签名解密再去进行验证就可以保证 证书没有被篡改过。
然后用户对证书的验证其实是一个信任链的过程即 根证书 中间证书 实际的证书证书的签发通常不是由根证书签发的而是借助中间的证书客户端在验证的时候只需要查询中间证书是否信任本次发送的证书即可。 当用户收到一个证书的时候先去检测它的上层的证书是哪个直到请求到根证书而用户会持有一个根证书清单请求到根证书后回去验证证书是否在这个清单上。
然后再去检测根证书是否信任下层的证书逐次检查直到检查到服务器发送来的证书这样就能验证证书的有效性了。
