您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

趣话网络安全传输协议HTTPS(SSL/TLS)

时间:2020-01-03 10:07:15  来源:  作者:

HTTPS出生名门:HTTPS协议是由Netscape(网景)公司在1994年提出的,目的是提供对网站服务器的身份认证,用来保证交换数据的隐私与完整性。

HTTPS正名已久:在2010年左右,HTTPS开始被广泛应用,以确保各类型的网页真实有效。

HTTPS关键事件:2018年7月24号,google Chrome宣布所有HTTP网站将会被标为不安全,并计划在搜索排名中降低HTTP网站的权重和排名。

HTTPS免费运动:大部分的商业网站,为了给用户提供安全可靠的服务,大多会选择向CA机构购买付费证书。但还是有很多的个人网站、非商业网站,或多或少因为费用的原因,并没有使用HTTPS。为了全面推动互联网的安全,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,现由非盈利组织互联网安全研究小组(ISRG)运营的Let's Encrypt,免费、开放和自动化的提供证书颁发服务。(现在各大云平台都有自己的免费证书服务)

为什么需要HTTPS

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

万维网(WWW),就像我们的高速公路,连通了我们每个人的个人电脑,方便我们的诉求信息,像快递包裹一样,在这些高速公路上高效流转。同时,我们也需要尊重这些个人包裹,就像我们需要尊重每个人的隐私一样。不能让这些重要信息在运输途中赤裸裸的暴漏在外面,什么人都可以看到,如果是这样,还有谁愿意用快递公司邮寄自己的个人物品呢?!

HTTPS可以加密我们的信息,将其安全的送达目的地。

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

为什么要加密?如果不这样做,那我所发送的信息谁都能看得懂,在没有秘密的前提下,我的美好生活就很难得到保障。比如朋友约我下午去他家,一起玩任天堂新版《群星大乱斗》,但我作业还没做完。这时候如果这条信息通过家里的路由器发送给朋友,很有可能我的父母也能看到,要是被他们知道了,我不觉得他们会开开心心的开车送我去玩游戏。

加密的方式通常有两种,一种是对称性加密(Symmetric encryption),也就是我和我的朋友用我们自己约定的语言发送密语,只有我们两个能破解,读懂我们彼此发送的信息,那么我们双方要拥有相同的密码表,也就是我们的证书。另一种就是非对称性加密(Asymmetric encryption),也就是证书有两种,一种是公钥,一种是私钥。比如我和朋友用微信进行聊天,我们装在自己手机上的微信叫客户端,腾讯的微信服务器是服务器端。客户端会拥有公钥,而服务器端会拥有私钥。他们按下面的规则进行通讯:

公钥:

  • 可以加密自己将要发出的信息,但自己没法解密自己发出的信息
  • 可以解密由私钥加密的信息

私钥

  • 可以解密公钥加密的信息
  • 可以加密自己将要发出的信息

那我将要发送给好友的信息将会先抵达腾讯的徽信服务器,服务器拿着私钥把我的信息先解密,调整后,又加密发给了我的好友,就像一个负责任的邮差一样,我的好友收到我的信息后,再用公钥解开,就能看到我发送给他的信息了。而我的父母是没法看懂这些信息的,因为他们并没有我俩的公钥。这样是不是就万事大吉了,我们可以顺利开启我们的游戏人生了?

然而并没有!因为不管是对称加密还是非对称加密,都需要面对一个问题,那就是如何保证密钥的安全性,通过上面的应用场景可以看出,公钥是需要传播的,我们怎么保证传播的途径和保存的方式安全可靠呢?根据“我跟你说个秘密,你不要和其它人说”原理,我们很难保证,仅仅靠个人就能保证密钥的安全性。如果持有的人少,可能泄漏的安全风险会相对小一些,但一旦同时持有的人数变多,风险就会急剧攀升,只要有一个人不小心或故意泄漏了密钥,整个消息网络就不再安全了。

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

当涉及到一些重要的隐私数据,如用户名和密码时,带来的影响会是灾难性的。比如我们要访问某宝官网,选购我们需要的商品时,我们会在浏览器上打开这个站点,那么在这个过程中,我们怎么知道我们在访问这个网站的过程中,有没有中间人在过手我们的信息呢?因为如果这个中间人拿到了我们的公钥,那它就可以在中间好好的隐藏起来,我们的交易还在继续,但我们完全感知不到。而这个中间人已经获取了我们的所有信息。

HTTPS可以为我们净化网络,给我们提供安全和保障。

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

可以看出,我们需要引入大家都依赖的第三方,帮助我们确认身份的关键信息。这时候就该CA(Certificate Authority)机构闪亮登场了,这个中间人做了几件事:

  • 签发证书:就像是一个认证一样,证明你就是你,咱们以网页服务为例,中间机构需要确认的首要信息就是这个域名是属于你的,如何向CA证明这个域名是属于你的常见方法又有HTTP-01和DNS-01,简单的来说就是如果你拥有该域名,要么你可以修改该域名的dns记录,要么你有权限让dns指向某台服务器,反正就是你能管理该域名。认证通过后,向你颁发的证书里就有相关的信息,比如域名以及服务器ip地址等信息,就是为了说明,睢,这张证书的合理工作范畴在该域名和服务器之间,超出了就认为不合法。
  • 向浏览器提供根证书,也就是该机构的通用公钥,所有的由该机构颁发的证书加密的信息,这个根证书都能解密。
  • 向浏览器证明,浏览器当前所连接的服务器,是否是该证书的合法持有者。

为了更好理解这个中间人的作用,我们站在浏览器的角度,假设用户想访问笔者的个人网站https://sunwei.xyz, 梳理一下这个认证流程:

  1. 用户在浏览器地址栏输入https://sunwei.xyz
  2. 浏览器会自动下载该网址的服务器证书,这里面会包含该网站的公钥,并且被私钥加密了
  3. 浏览器用预装的各大CA机构根证书,进行解密,解密成功就意味着这是由CA机构正式颁发的证书,如假包换
  4. 浏览器拿着解密后的证书信息,将里面的详细信息发送到CA机构,确认当前这个合法的证书,是否被当前正在连接的服务器合法持有。
  5. 认证都通过后,浏览器会动态生成对称加密密钥,并用公钥进行另密发送给服务器,双方确认后。浏览器和服务器将用这副对称密钥进行通讯,全世界有且只有他们俩能听懂他们在说什么。

这时候,我们发现中间人没有办法再将自己继续藏匿起来,不被发现。因为中间人的服务器不在CA机制的该证书认证列表里面。就算中间人也向该CA机构申请了自己的合法证书,但同理,你也不能将别人的域名或者服务器认证到你自己的证书里面。

HTTPS是怎么工作的

趣话网络安全传输协议HTTPS(SSL/TLS)

 

从网络OSI七层协议简化版中可以看出,HTTPS属于应用层,那这就意味着运用了HTTPS协议的通讯在进行UDP/TCP连接前,就已经对数据进行了加密操作,如下图:

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

这样也能看出分层架构的好处,各司其职。再放大到七层协议,可以看到实际发生作用的是Session层:

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

最后附上全景图:

 

趣话网络安全传输协议HTTPS(SSL/TLS)

 

 

全文完



Tags:HTTPS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1. 前言本文主要讲解如何在Linux上使用tinyproxy搭建HTTP/HTTPS代理器。tinyproxy是一个HTTP/HTTPS代理。它是轻量级的、快速的、非常容易配置的,而且是一个开源的代理服务。...【详细内容】
2021-12-08  Tags: HTTPS  点击:(18)  评论:(0)  加入收藏
由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
2021-12-01  Tags: HTTPS  点击:(31)  评论:(0)  加入收藏
这段时间毕竟也是 “金九银十” 的面试的黄金季节,阿粉当然也想去面试,但是因为自身受限,所以只能采访一下出去面试的同学们都问了什么内容,其中有一个,阿粉觉得有必要给大家分享...【详细内容】
2021-11-05  Tags: HTTPS  点击:(45)  评论:(0)  加入收藏
自互联网出现以来,超文本传输协议http协议被广泛用于在Web浏览器和网站服务器之间传递信息,但随着互联网的发展,另一种协议——https出现,并与http一同服务于这个互联...【详细内容】
2021-10-20  Tags: HTTPS  点击:(44)  评论:(0)  加入收藏
背景最近做微信小程序开发比较多,大家知道线上微信小程序为了安全起见,要求后端通信协议必须是HTTPS,这就要求需要安装证书。为了测试预发布线上环境,特地买了个最便宜的域名,为...【详细内容】
2021-09-14  Tags: HTTPS  点击:(125)  评论:(0)  加入收藏
随着互联网安全越来越被重视,几乎所有的大网站都已经默认启用了https协议,浏览器输入http网址也会自动跳转到https,比如百度、腾讯、搜狗、谷歌等等。简单来说就是https协议数...【详细内容】
2021-09-06  Tags: HTTPS  点击:(76)  评论:(0)  加入收藏
为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服...【详细内容】
2021-08-11  Tags: HTTPS  点击:(53)  评论:(0)  加入收藏
我们日常用https访问网站的时候,和网站交互的数据是加密的,所用的协议就是SSL/TLS。所以即使我们截获了这些数据包,我们也不能看到加密的内容。比如我们随便打开百度的网址,用wi...【详细内容】
2021-07-16  Tags: HTTPS  点击:(127)  评论:(0)  加入收藏
1. 实验说明:前面的章节我们已经简单学习了windows server2019上如何搭建web服务器的,有的同学可能在上网的过程中会发现有些域名是使用的http访问而有的域名则是使用https加...【详细内容】
2021-07-07  Tags: HTTPS  点击:(147)  评论:(0)  加入收藏
说明最近项目上遇到一些https的问题,需要在tomcat里面测试一下如何开启https协议访问网站,在网上查了一些资料,自己也试了很多次,终于成功搞定了,下面跟大家分享一下我的一点经验...【详细内容】
2021-04-20  Tags: HTTPS  点击:(162)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条