HTTS協(xié)議實(shí)際就是標(biāo)準(zhǔn)的HTTP協(xié)議加上SSL/TLS層.它能防止我們的信息被竊取,暴露出不安全.或者進(jìn)入釣魚網(wǎng)址.通過(guò)下面這個(gè)講解,我希望能明白SSL/TLS層到底為我們做了哪些事情,才能保證我們的信息安全.
1. HTTPS到底做了哪些事情
HTTPS采用眾所周知和理解的HTTP協(xié)議谋逻,并簡(jiǎn)單地將SSL / TLS加密層層疊在其上呆馁。服務(wù)器和客戶端仍然使用相同的HTTP,但通過(guò)安全的SSL連接來(lái)加密和解密他們的請(qǐng)求和響應(yīng)毁兆。 SSL層有兩個(gè)主要目的:
- 保證你是在跟真正的服務(wù)器通信,而不是偽裝的服務(wù)器.
- 保證只有真正的服務(wù)器才能解密你發(fā)送的信息.同時(shí),也只有你才能解密服務(wù)器跟你發(fā)送消息.就是保證是你跟真正的服務(wù)器在通信,這過(guò)程中沒(méi)有第三者.
在這過(guò)程中,其他人還是可以中途截取到你發(fā)送的信息,但是是加密的,它們拿到也無(wú)法解密.
2. SSL/TLS是如何建立連接的
客戶端和服務(wù)器端通過(guò)握手來(lái)建立連接的浙滤,目的有以下3點(diǎn)。
- 保證客戶端正在和正確的服務(wù)器通信(反之亦然)
- 有關(guān)各方已就“密碼套件”達(dá)成一致气堕,該密碼套件包括將用于交換數(shù)據(jù)的加密算法
- 對(duì)密匙達(dá)成一致纺腊,雙方使用相同的密匙
一旦建立連接,雙方就可以使用商定的算法和密鑰將消息安全地發(fā)送給對(duì)方茎芭。我們將握手分為三個(gè)主要階段 - Hello揖膜,證書交換和密鑰交換。
- Hello - 握手從客戶端發(fā)送ClientHello消息開(kāi)始梅桩。這包含服務(wù)器通過(guò)SSL/TLS連接到客戶端所需的所有信息壹粟,包括它支持的各種密碼套件和最大SSL/TLS版本。服務(wù)器響應(yīng)ServerHello宿百,其中包含客戶端所需的類似信息趁仙,包括基于客戶端有關(guān)哪個(gè)密碼套件和SSL/TLS版本將被使用的偏好的決定。
- 證書交換 - 現(xiàn)在聯(lián)系已建立垦页,服務(wù)器必須向客戶證明其身份雀费。這是通過(guò)使用SSL證書來(lái)實(shí)現(xiàn)的,該證書與其護(hù)照非常相似痊焊。 SSL證書包含各種數(shù)據(jù)盏袄,包括所有者的名稱忿峻,所連接的屬性(例如域),證書的公鑰辕羽,數(shù)字簽名以及有關(guān)證書有效日期的信息逛尚。客戶端檢查它是隱式信任證書逛漫,還是驗(yàn)證它是否被其隱含信任的幾個(gè)證書頒發(fā)機(jī)構(gòu)(CA)之一驗(yàn)證和信任黑低。請(qǐng)注意,服務(wù)器也可以要求證書來(lái)證明客戶的身份酌毡,但這通常只發(fā)生在非常敏感的應(yīng)用程序中克握。
- 密鑰交換 - 客戶端和服務(wù)器交換的實(shí)際消息數(shù)據(jù)的加密將使用對(duì)稱加密算法完成,其確切性質(zhì)在Hello階段已經(jīng)達(dá)成一致枷踏。對(duì)稱算法使用單個(gè)密鑰進(jìn)行加密和解密菩暗,與需要公鑰/私鑰對(duì)的非對(duì)稱算法相反。雙方需要就這個(gè)單一的對(duì)稱密鑰達(dá)成一致旭蠕,這個(gè)安全使用非對(duì)稱加密和服務(wù)器的公鑰/私鑰完成的過(guò)程停团。客戶端先用非對(duì)稱加密算法的公鑰把通信過(guò)程中需要的私鑰傳給服務(wù)端,服務(wù)端用私鑰解讀出以后通信過(guò)程中的私鑰掏熬。
客戶端生成一個(gè)用于對(duì)稱加密算法的隨機(jī)密鑰佑稠。它使用在Hello階段同意的算法和服務(wù)器的公鑰(在其SSL證書上找到)對(duì)其進(jìn)行加密。它將這個(gè)加密的密鑰發(fā)送到服務(wù)器旗芬,在那里使用服務(wù)器的私鑰解密舌胶,并且握手的有趣部分已完成。雙方都非常高興疮丛,他們正在與正確的人交談幔嫂,并秘密地同意了一個(gè)密鑰,以對(duì)稱加密的方式加密他們將要發(fā)送的數(shù)據(jù)誊薄。 HTTP請(qǐng)求和響應(yīng)現(xiàn)在可以通過(guò)形成明文消息然后加密并發(fā)送來(lái)發(fā)送履恩。另一方是唯一知道如何解密此消息的人,因此中間人攻擊者無(wú)法讀取或修改他們可能攔截的任何請(qǐng)求呢蔫。
3. 證書
對(duì)于請(qǐng)求方來(lái)說(shuō)切心,它怎么能確定它所得到的公鑰一定是從目標(biāo)主機(jī)那里發(fā)布的,而且沒(méi)有被篡改過(guò)呢咐刨?亦或者請(qǐng)求的目標(biāo)主機(jī)本本身就從事竊取用戶信息的不正當(dāng)行為呢昙衅?這時(shí)候,我們需要有一個(gè)權(quán)威的值得信賴的第三方機(jī)構(gòu)(一般是由政府審核并授權(quán)的機(jī)構(gòu))來(lái)統(tǒng)一對(duì)外發(fā)放主機(jī)機(jī)構(gòu)的公鑰定鸟,只要請(qǐng)求方這種機(jī)構(gòu)獲取公鑰,就避免了上述問(wèn)題的發(fā)生著瓶。
用戶首先產(chǎn)生自己的密鑰對(duì)联予,并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后,將執(zhí)行一些必要的步驟沸久,以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)季眷,然后,認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書卷胯,該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息子刮,同時(shí)還附有認(rèn)證中心的簽名信息(根證書私鑰簽名)。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)窑睁。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布挺峡,數(shù)字證書各不相同,每種證書可提供不同級(jí)別的可信度担钮。
證書的驗(yàn)證是通過(guò)驗(yàn)證證書的數(shù)字簽名(CA的公鑰來(lái)解開(kāi)簽名,并與原文hash之后的摘要做對(duì)比).
4. 數(shù)字簽名
數(shù)字簽名技術(shù)就是對(duì)“非對(duì)稱密鑰加解密”和“數(shù)字摘要“兩項(xiàng)技術(shù)的應(yīng)用橱赠,它將摘要信息用發(fā)送者的私鑰加密,與原文一起傳送給接收者箫津。 接收者只有用發(fā)送者的公鑰才能解密被加密的摘要信息狭姨,然后用HASH函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要信息,與解密的摘要信息對(duì)比苏遥。 如果相同饼拍,則說(shuō)明收到的信息是完整的,在傳輸過(guò)程中沒(méi)有被修改田炭,否則說(shuō)明信息被修改過(guò)师抄,因此數(shù)字簽名能夠驗(yàn)證信息的完整性。
數(shù)字簽名的過(guò)程如下:
明文 --> hash運(yùn)算 --> 摘要 --> 私鑰加密 --> 數(shù)字簽名
數(shù)字簽名有兩種功效:
- 能確定消息確實(shí)是由發(fā)送方簽名并發(fā)出來(lái)的诫肠,因?yàn)閯e人假冒不了發(fā)送方的簽名司澎。
- 數(shù)字簽名能確定消息的完整性。
真?zhèn)€HTTPS的握手過(guò)程如下
5. 總結(jié)
HTTPS不是不可破解的栋豫,并且SSL協(xié)議必須隨著新攻擊被發(fā)現(xiàn)和壓制而不斷發(fā)展挤安。但它仍然是一種傳遞秘密數(shù)據(jù)的的方式,無(wú)需關(guān)心誰(shuí)看到您的消息丧鸯。當(dāng)然蛤铜,這里沒(méi)有提到許多實(shí)現(xiàn)細(xì)節(jié),例如握手消息的確切格式和順序丛肢,在不需要重新協(xié)商密鑰和密碼套件的情況下選擇最近會(huì)話的簡(jiǎn)短握手围肥,以及在每個(gè)階段可用的眾多不同的加密選項(xiàng)。關(guān)鍵要記住的是蜂怎,雖然HTTPS可以保證數(shù)據(jù)安全地連接到目的地穆刻,但它絕不會(huì)保護(hù)您(作為用戶或開(kāi)發(fā)人員)抵御XSS或數(shù)據(jù)庫(kù)泄漏或任何其他事情 「懿剑看看威爾史密斯氢伟,“Walk in shadow, move in silence, guard against extra-terrestrial violence”榜轿。
參考文章:
http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
https://robertheaton.com/2014/03/27/how-does-https-actually-work/
http://www.wxtlife.com/2016/03/27/%E8%AF%A6%E8%A7%A3https%E6%98%AF%E5%A6%82%E4%BD%95%E7%A1%AE%E4%BF%9D%E5%AE%89%E5%85%A8%E7%9A%84%EF%BC%9F/#u6570_u5B57_u8BC1_u4E66
