详细理解http和https的原理,区分http和https,是解决客户端和服务器端的交互问题。
http原理虽然http是文明的协议,但实际上http没有任何原理,只是客户访问服务器端进行响应的过程
http安全问题http,因为在传送信息时其他人能够看到通信内容,所以面临的危险性如下。
1 .窃听风险:黑客可获知通信内容
2 .篡改风险:黑客可以修改通信内容
3 .冒充风险:黑客可以冒充他人身份参与通信
https的原理https是对http增加了一个ssl (安全),是为了防止由于通信内容的加密而发生http安全问题
加密方案包括对称加密。 生成私钥的私钥可以锁定和解密
但是,这种方法的缺点如下
)由于不同的客户端、服务器数量巨大,双方都需要维护大量的密钥,维护成本高。
)2)由于每个客户端、服务器的安全级别都不一样,所以密钥容易泄露
)3)然后私钥黑客也被黑客拦截,我们的加密也变得毫无用处
常用算法: DES、3DES、AES、Blowfish等
非对称加密:生成一对私钥、一个公钥和一个私钥,公钥可以传输给其他人,一个用于加密,一个用于解密
使用对称加密时,密钥维护这么麻烦,所以试着使用非对称加密吧。 不对称加密只需要维护一组公钥。
因为公钥是公开的(也就是说黑客也有公钥),所以用私钥加密的信息在被黑客监听到的情况下,可以使用公钥进行解密并获取其内容
常用算法: RSA、Elgamal、Rabin、DH、ECC等
既然同时使用对称加密和非对称加密非对称加密也有缺点,那么将对称加密和非对称加密结合起来发挥两者各自的优势
)1)客户机用公钥加密此话,传递给服务器(解释)客户机和服务器方面每次通信时约定私钥,该私钥相当于用服务器给出的公钥加密。 )
)服务器收到消息后,用私钥解密,提取对称加密算法和对称密钥后,服务器称“对称密钥加密”
)3)后续两者之间的信息传输可以使用对称加密方式
这种方式还是有问题的
)1)第一步是用服务器提供的公钥对后续约定的私钥进行加密,那么这里怎么获取服务器提供的公钥呢? 如何确保访问的服务器不是黑客返回的?
不对称签名:检查签名的时候还不行。 因为没有检查签名的私钥。
但是,无论采用哪种加密方式,都不能保证传输中私钥的安全性,所以考虑内置第三方的私钥吧。 此第三方称为证书颁发机构(CA ),其他站点首先用自己的公钥搜索证书颁发机构,然后用证书颁发机构的私钥加密生成证书。 该客户端可利用系统中内置认证机构的公钥解密和解密,意味着证书确实不是由第三方生成的。 但是,问题是第三方机构向很多公司生产证书。 如果黑客也申请了证书,并且您的设备的公钥可以被解密,则在证书中写入服务器域名的同时,黑客会将证书更改为您的域名,以防止您在证书上签名,并考虑使用第三方的私钥再次加密此签名。 所以一张证书实际上包括三个主要的东西
1 .域名
2 .服务器公钥
3 .证书签名后的加密字符串
浏览器验证证书的步骤客户端在收到服务器发送的SSL证书时,会验证证书的真伪。 以浏览器为例进行说明,如下所示。
)1)首先,浏览器读取证书中证书的所有者、有效期限等信息并进行检查
)2)浏览器开始检索操作系统中内置的可信证书颁发机构CA,对照从服务器传来的证书的颁发者CA,验证证书是否由合法的颁发机构颁发
)3)如果找不到,浏览器会报告错误,表示从服务器传来的证书不可信。
)如果找到了,浏览器从操作系统中取出发行者CA的公钥,对从服务器传来的证书的签名进行解密
)5)浏览器使用相同的哈希算法计算从服务器传来的证书的哈希值,将该计算出的哈希值和证书的签名进行比较
)如果比较结果一致,则证明从服务器发送来的证书是合法的,没有被冒充
)7)此时,浏览器读取证书的公钥,可以用于后续加密