0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
电子发烧友
开通电子发烧友VIP会员 尊享10大特权
海量资料免费下载
精品直播免费看
优质内容免费畅学
课程9折专享价
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

https 的本質(zhì)、證書驗證過程以及數(shù)據(jù)加密

京東云 ? 來源:jf_75140285 ? 作者:jf_75140285 ? 2024-10-30 10:53 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

1. 什么是 HTTPS

HTTP 加上加密處理和認證以及完整性保護后即是 HTTPS。

它是為了解決 HTTP 存在的安全性問題,而衍生的協(xié)議,那使用 HTTP 的缺點有:

1.通信使用明文可能會被竊聽

2.不驗證通信方的身份可能遭遇偽裝

3.無法驗證報文完整性,可能已遭篡改

HTTPS 并非是一種新協(xié)議,只是 HTTP 通信接口部分用 SSL 和 TLS 協(xié)議代替。通常,HTTP 是直接跟 TCP 通信,當使用了 SSL 后,則變成先和 SSL 通信,再有 SSL 和 TCP 通信。簡而言之,HTTPS 是身披 SSL 協(xié)議的這層外殼的 HTTP。

補充下,SSL 協(xié)議是獨立于 HTTP 的協(xié)議,所以運行在應用層的其他協(xié)議,如 Telnet、SMTP 均可以配合 SSL 協(xié)議使用,所以也說 SSL 協(xié)議是應用最廣泛的網(wǎng)絡安全技術(shù)。

HTTPS 安全可靠,為啥不一致使用 HTTPS 呢?

1.與純文本通信相比,加密通信會消耗更多 CPU 和內(nèi)存資源。

2.購買證書也是一筆不小的開銷。

3.HTTPS 比 HTTP 要慢 2-100 倍。這是因為 SSL 慢,一種是通信慢,出去 TCP 連接、發(fā)送 HTTP 請求/響應外,還必須有 SSL 通信,整體上通信量增加了。 另一種是,大量消耗 CPU 和內(nèi)存等資源,導致處理熟讀變慢,這是因為 SSL 必須進行加密,通常使用 SSL 加速器來改善問題,但實際上沒有根本性的解決方法。

下面一起看下 HTTPS 請求的全過程詳解。

2. 安全通信機制

1.流程圖

2.?

3.?

chaijie_default.png

安全通信機制流程詳解:

1.客戶端發(fā)送 https 請求,把自身支持的秘鑰算法套件(SSL 指定版本、加密組件列表)發(fā)送給服務器

2.服務器判斷自身是否支持該算法套件,如果支持則返回證書信息(本質(zhì)為公鑰,包含了證書頒發(fā)機構(gòu),網(wǎng)址,過期時間等) ,否則斷開連接,

3.客戶端解析證書(通過 TLS 協(xié)議來完成),驗證證書是否有效。如果異常,則會提示是否安裝證書,常見的就是瀏覽器搜索欄左側(cè)出現(xiàn)“X”告警按鈕等。

4.如果證書有效、或者是授信安裝證書后,開始傳送加密信息(用證書加密后的隨機值,供加解密使用)

5.服務端通過私鑰解密加密信息,得到客戶端發(fā)送來的隨機值,然后把內(nèi)容通過該值進行對稱加密。這樣一來,除非知道私鑰,否則是無法獲取加密內(nèi)容的。

6.服務端返回加密后的內(nèi)容

7.客戶端通過前面提到的隨機值對加密信息進行解密

3. 證書驗證過程

SSL 證書中包含的具體內(nèi)容有證書的頒發(fā)機構(gòu)、有效期、公鑰、證書持有者、簽名,通過第三方的校驗保證了身份的合法

1.檢驗基本信息:首先瀏覽器讀取證書中的證書所有者、有效期等信息進行一一校驗

2.校驗 CA 機構(gòu):瀏覽器開始查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機構(gòu) CA,與服務器發(fā)來的證書中的頒發(fā)者 CA 比對,用于校驗證書是否為合法機構(gòu)頒發(fā);如果找不到,瀏覽器就會報錯,說明服務器發(fā)來的證書是不可信任的。

3.解密證書:如果找到,那么瀏覽器就會從操作系統(tǒng)中取出 頒發(fā)者 CA 的公鑰,然后對服務器發(fā)來的證書里面的簽名進行解密

4.比對 hash 值:瀏覽器使用相同的 hash 算法計算出服務器發(fā)來的證書的 hash 值,將這個計算的 hash 值與證書中簽名做對比

5.對比結(jié)果一致,則證明服務器發(fā)來的證書合法,沒有被冒充

6.此時瀏覽器就可以讀取證書中的公鑰,用于后續(xù)加密了

4. 擴展:CA 證書

CA 是證書頒發(fā)機構(gòu)的簡稱,它會給自己簽發(fā)一個根證書 Root CA,并且 CA 會通過根證書來簽發(fā)中間證書,授權(quán)中間證書頒發(fā)機構(gòu)簽發(fā)證書的權(quán)限,最后由中間證書頒發(fā)機構(gòu)向用戶簽發(fā)用戶證書。之所以多一層中間證書是為了保護根證書,減少根證書被攻擊或者被破解的風險。當然中間證書可能不止一個。因此通常用戶收到的證書是 3 個:根證書、中間證書、用戶證書。事實上,申請到的證書只是用戶證書,其他 2 個很早就被簽發(fā)了。

瀏覽器為何新任 CA 證書呢?

因為 CA 是被 WebTrust 信任的第三方組織,且只有通過 WebTrust 國際安全審計認證的證書頒發(fā)機構(gòu) CA,其簽發(fā)的證書才會被各大瀏覽器信任。根證書庫包含瀏覽器信任的證書頒發(fā)機構(gòu) CA 的根證書,有的瀏覽器會自建根證書庫,比如 Mozilla Firefox,有的瀏覽器會使用其他瀏覽器的根證書庫。

瀏覽器如何校驗證書合法性呢?

由于用戶證書被中間證書信任,而中間證書被根證書信任,根證書又被瀏覽器信任,這樣一個完整的證書鏈使得瀏覽器可以在根證書庫內(nèi)一次檢索用戶證書、中間證書和根證書,如果能匹配到根證書,那么這一信任鏈上的所有證書都是合法的。

5. 擴展:openssl 生成證書

以生成 CA 根證書為例:

#1.準備ca配置文件,得到ca.conf
vimca.conf

#2.生成ca秘鑰,得到ca.key
opensslgenrsa-outca.key4096

#3.生成ca證書簽發(fā)請求,得到ca.csr
opensslreq
-new
-sha256
-outca.csr
-keyca.key
-configca.conf

#4.生成ca根證書,得到ca.crt
opensslx509
-req
-days3650
-inca.csr
-signkeyca.key
-outca.crt

6.總結(jié)

至此一篇文章讀懂了 Https 協(xié)議全過程,最后匯總下 https 的知識點。

1.HTTP 加上加密處理和認證以及完整性保護后是 HTTPS。

2.HTTPS 是身披 SSL 外殼的 HTTP

3.相互校驗秘鑰的公開秘鑰加密技術(shù)

4.證明公開秘鑰正確性的證書

京東云發(fā)免費SSL證書啦!??!

TrustAsiaDV單域名90天0元!快速頒發(fā),經(jīng)濟實惠,保護網(wǎng)站數(shù)據(jù)安全,適合個人/企業(yè)網(wǎng)站及建站開發(fā)測試使用。

審核編輯 黃宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 數(shù)據(jù)加密
    +關(guān)注

    關(guān)注

    0

    文章

    54

    瀏覽量

    12970
  • https
    +關(guān)注

    關(guān)注

    0

    文章

    54

    瀏覽量

    6909
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關(guān)推薦
    熱點推薦

    基于RK3576開發(fā)板的http/https通訊

    資源定位符)用于定位資源,包含協(xié)議、網(wǎng)址和文件地址。使用HTTPS時需注意CA證書和SSL/TLS協(xié)議的使用。本文還介紹了如何設置證書、發(fā)送form-data和json數(shù)據(jù)
    的頭像 發(fā)表于 05-10 11:24 ?1307次閱讀
    基于RK3576開發(fā)板的http/<b class='flag-5'>https</b>通訊

    華為榮獲數(shù)據(jù)中心自智網(wǎng)絡基礎能力解決方案檢測證書

    2025年云網(wǎng)智聯(lián)大會首日,中國信息通信研究院(簡稱“信通院”)向華為技術(shù)有限公司(以下簡稱“華為”)等首批獲得《數(shù)據(jù)中心自智網(wǎng)絡基礎能力解決方案檢測證書》的企業(yè)正式頒發(fā)證書。此項認證的獲得充分
    的頭像 發(fā)表于 04-25 16:00 ?367次閱讀

    部署WoSign SSL國密RSA雙證書,實現(xiàn)國密HTTPS加密

    我國網(wǎng)絡安全法規(guī)體系不斷完善,形成了以《網(wǎng)絡安全法》為核心的立體化法律框架。阿里云數(shù)字證書管理服務提供國產(chǎn)品牌SSL證書,支持簽發(fā)基于國密算法的SSL/TLS證書,助力金融、政務等行業(yè)滿足
    的頭像 發(fā)表于 03-26 10:58 ?385次閱讀
    部署WoSign SSL國密RSA雙<b class='flag-5'>證書</b>,實現(xiàn)國密<b class='flag-5'>HTTPS</b><b class='flag-5'>加密</b>

    2025阿里云智惠采購季,WoSign SSL國產(chǎn)證書折上折滿減優(yōu)惠

    加密,保障數(shù)據(jù)傳輸安全。領(lǐng)取“智惠采購季上云禮包”,先領(lǐng)券再下單,享受滿減優(yōu)惠。WoSign品牌SSL證書國密RSA雙算法支持,確保廣泛兼容與可靠部署。
    的頭像 發(fā)表于 03-13 14:36 ?335次閱讀
    2025阿里云智惠采購季,WoSign SSL國產(chǎn)<b class='flag-5'>證書</b>折上折滿減優(yōu)惠

    數(shù)據(jù)云計算都需要考什么證書?

    數(shù)據(jù)和云計算領(lǐng)域包含多種專業(yè)證書,其中大數(shù)據(jù)領(lǐng)域涵蓋數(shù)據(jù)分析類證書、大數(shù)據(jù)工程類
    的頭像 發(fā)表于 02-19 11:05 ?631次閱讀

    如何實現(xiàn) HTTP 協(xié)議的安全性

    協(xié)議的安全性,可以采取以下幾種方法: 1. 使用HTTPS HTTPS(安全超文本傳輸協(xié)議)是HTTP的安全版本,它在HTTP的基礎上通過SSL/TLS協(xié)議提供了數(shù)據(jù)加密
    的頭像 發(fā)表于 12-30 09:22 ?927次閱讀

    加密算法在云計算中如何應用?

    加密算法在云計算中的應用主要體現(xiàn)在以下幾個方面: 數(shù)據(jù)加密數(shù)據(jù)加密是保護數(shù)據(jù)在傳輸和存儲
    的頭像 發(fā)表于 12-17 16:02 ?542次閱讀

    加密算法在網(wǎng)絡安全中扮演什么角色?

    : 通過哈希函數(shù)和消息認證碼(MAC),加密算法可以檢測數(shù)據(jù)在傳輸過程中是否被篡改,確保數(shù)據(jù)的完整性。 提供身份驗證 : 非對稱
    的頭像 發(fā)表于 12-17 16:00 ?526次閱讀

    在linux系統(tǒng)通過OpenSSL工具自簽https證書

    工具介紹 OpenSSL是SSL/TLS協(xié)議的實現(xiàn)工具 key是私鑰文件,用于對發(fā)送給客戶端的數(shù)據(jù)加密,以及對從客戶端接收的數(shù)據(jù)進行解密。 csr是
    的頭像 發(fā)表于 12-09 13:53 ?1186次閱讀

    恒訊科技分析:處理SSL證書時需要避免的5個錯誤

    、對驗證過程毫無準備驗證過程通過我們網(wǎng)站上提供的CSR(證書簽名請求)完成。除非我們向證書頒發(fā)機
    的頭像 發(fā)表于 10-23 15:08 ?376次閱讀
    恒訊科技分析:處理SSL<b class='flag-5'>證書</b>時需要避免的5個錯誤

    恒訊科技總結(jié):根證書和中間證書經(jīng)常會被問到的問題

    ;另一個是中間證書,最后還有根證書。中間證書將我們的服務器證書鏈接到根證書。它們共同構(gòu)成了SSL信任鏈。如果鏈中的一個組件丟失,瀏覽器將不會
    的頭像 發(fā)表于 10-23 15:08 ?726次閱讀
    恒訊科技總結(jié):根<b class='flag-5'>證書</b>和中間<b class='flag-5'>證書</b>經(jīng)常會被問到的問題

    恒訊科技分析:SSL證書的DV證書與OV證書有什么區(qū)別?

    非常簡單明了,因為實體必須證明域所有權(quán)。CA 將要求請求證書的實體完成電子郵件驗證、基于文件的驗證或域名注冊商的信息。OV證書頒發(fā)過程更加詳
    的頭像 發(fā)表于 10-23 15:08 ?857次閱讀
    恒訊科技分析:SSL<b class='flag-5'>證書</b>的DV<b class='flag-5'>證書</b>與OV<b class='flag-5'>證書</b>有什么區(qū)別?

    開源物聯(lián)網(wǎng)技術(shù)--AES加密功能技術(shù)分享

    和傳輸?shù)?b class='flag-5'>數(shù)據(jù)的安全,AES加密技術(shù)被廣泛應用于以下幾個方面: 數(shù)據(jù)傳輸加密:物聯(lián)網(wǎng)設備之間傳輸?shù)?b class='flag-5'>數(shù)據(jù)可以使用AES
    的頭像 發(fā)表于 09-11 14:50 ?1317次閱讀
    開源物聯(lián)網(wǎng)技術(shù)--AES<b class='flag-5'>加密</b>功能技術(shù)分享

    空調(diào)協(xié)議網(wǎng)關(guān)BL120AC支持X.509證書

    協(xié)議:BL120AC支持數(shù)據(jù)TSL/SSL加密傳輸,這是一種廣泛使用的網(wǎng)絡安全協(xié)議,能夠為客戶端和服務器之間的通信提供數(shù)據(jù)加密和完整性驗證
    的頭像 發(fā)表于 08-05 13:42 ?419次閱讀
    空調(diào)協(xié)議網(wǎng)關(guān)BL120AC支持X.509<b class='flag-5'>證書</b>

    DTU加密流程分享

    一:通過串口線連接DTU設備; 二:打開配電證書管理工具(此處使用測試USBkey來進行識別) 三:終端身份認證以及終端信息的采集操作 四:導出測試終端證書(終端標識號命名)以及
    發(fā)表于 07-24 08:24

    電子發(fā)燒友

    中國電子工程師最喜歡的網(wǎng)站

    • 2931785位工程師會員交流學習
    • 獲取您個性化的科技前沿技術(shù)信息
    • 參加活動獲取豐厚的禮品