https 的本质、证书验证过程以及数据加密

京东云开发者
• 阅读 3
1. 什么是 HTTPS

HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS。

它是为了解决 HTTP 存在的安全性问题,而衍生的协议,那使用 HTTP 的缺点有:

1.通信使用明文可能会被窃听

2.不验证通信方的身份可能遭遇伪装

3.无法验证报文完整性,可能已遭篡改



HTTPS 并非是一种新协议,只是 HTTP 通信接口部分用 SSL 和 TLS 协议代替。通常,HTTP 是直接跟 TCP 通信,当使用了 SSL 后,则变成先和 SSL 通信,再有 SSL 和 TCP 通信。简而言之,HTTPS 是身披 SSL 协议的这层外壳的 HTTP。



补充下,SSL 协议是独立于 HTTP 的协议,所以运行在应用层的其他协议,如 Telnet、SMTP 均可以配合 SSL 协议使用,所以也说 SSL 协议是应用最广泛的网络安全技术。



HTTPS 安全可靠,为啥不一致使用 HTTPS 呢?

1.与纯文本通信相比,加密通信会消耗更多 CPU 和内存资源。

2.购买证书也是一笔不小的开销。

3.HTTPS 比 HTTP 要慢 2-100 倍。这是因为 SSL 慢,一种是通信慢,出去 TCP 连接、发送 HTTP 请求/响应外,还必须有 SSL 通信,整体上通信量增加了。 另一种是,大量消耗 CPU 和内存等资源,导致处理熟读变慢,这是因为 SSL 必须进行加密,通常使用 SSL 加速器来改善问题,但实际上没有根本性的解决方法。



下面一起看下 HTTPS 请求的全过程详解。

2. 安全通信机制

1.流程图

2.

https 的本质、证书验证过程以及数据加密



安全通信机制流程详解:

1.客户端发送 https 请求,把自身支持的秘钥算法套件(SSL 指定版本、加密组件列表)发送给服务器

2.服务器判断自身是否支持该算法套件,如果支持则返回证书信息(本质为公钥,包含了证书颁发机构,网址,过期时间等) ,否则断开连接,

3.客户端解析证书(通过 TLS 协议来完成),验证证书是否有效。如果异常,则会提示是否安装证书,常见的就是浏览器搜索栏左侧出现“X”告警按钮等。

4.如果证书有效、或者是授信安装证书后,开始传送加密信息(用证书加密后的随机值,供加解密使用)

5.服务端通过私钥解密加密信息,得到客户端发送来的随机值,然后把内容通过该值进行对称加密。这样一来,除非知道私钥,否则是无法获取加密内容的。

6.服务端返回加密后的内容

7.客户端通过前面提到的随机值对加密信息进行解密

3. 证书验证过程

SSL 证书中包含的具体内容有证书的颁发机构、有效期、公钥、证书持有者、签名,通过第三方的校验保证了身份的合法

1.检验基本信息:首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验

2.校验 CA 机构:浏览器开始查找操作系统中已内置的受信任的证书发布机构 CA,与服务器发来的证书中的颁发者 CA 比对,用于校验证书是否为合法机构颁发;如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。

3.解密证书:如果找到,那么浏览器就会从操作系统中取出 颁发者 CA 的公钥,然后对服务器发来的证书里面的签名进行解密

4.比对 hash 值:浏览器使用相同的 hash 算法计算出服务器发来的证书的 hash 值,将这个计算的 hash 值与证书中签名做对比

5.对比结果一致,则证明服务器发来的证书合法,没有被冒充

6.此时浏览器就可以读取证书中的公钥,用于后续加密了

4. 扩展:CA 证书

CA 是证书颁发机构的简称,它会给自己签发一个根证书 Root CA,并且 CA 会通过根证书来签发中间证书,授权中间证书颁发机构签发证书的权限,最后由中间证书颁发机构向用户签发用户证书。之所以多一层中间证书是为了保护根证书,减少根证书被攻击或者被破解的风险。当然中间证书可能不止一个。因此通常用户收到的证书是 3 个:根证书、中间证书、用户证书。事实上,申请到的证书只是用户证书,其他 2 个很早就被签发了。



浏览器为何新任 CA 证书呢?

因为 CA 是被 WebTrust 信任的第三方组织,且只有通过 WebTrust 国际安全审计认证的证书颁发机构 CA,其签发的证书才会被各大浏览器信任。根证书库包含浏览器信任的证书颁发机构 CA 的根证书,有的浏览器会自建根证书库,比如 Mozilla Firefox,有的浏览器会使用其他浏览器的根证书库。



浏览器如何校验证书合法性呢?

由于用户证书被中间证书信任,而中间证书被根证书信任,根证书又被浏览器信任,这样一个完整的证书链使得浏览器可以在根证书库内一次检索用户证书、中间证书和根证书,如果能匹配到根证书,那么这一信任链上的所有证书都是合法的。

5. 扩展:openssl 生成证书

以生成 CA 根证书为例:

# 1. 准备ca配置文件,得到ca.conf
vim ca.conf

# 2. 生成ca秘钥,得到ca.key
openssl genrsa -out ca.key 4096

# 3. 生成ca证书签发请求,得到ca.csr
openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf

# 4.生成ca根证书,得到ca.crt
openssl x509 \
    -req \
    -days 3650 \
    -in ca.csr \
    -signkey ca.key \
    -out ca.crt
6.总结

至此一篇文章读懂了 Https 协议全过程,最后汇总下 https 的知识点。

1.HTTP 加上加密处理和认证以及完整性保护后是 HTTPS。

2.HTTPS 是身披 SSL 外壳的 HTTP

3.相互校验秘钥的公开秘钥加密技术

4.证明公开秘钥正确性的证书

京东云发免费SSL证书啦!!!

TrustAsia DV 单域名90天0元!快速颁发,经济实惠,保护网站数据安全,适合个人/企业网站及建站开发测试使用。

添加企业微信获取

https 的本质、证书验证过程以及数据加密

点赞
收藏
评论区
推荐文章
高防加速CDN 高防加速CDN
1年前
为什么安装了SSL证书,网站还是显示不安全?
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。SSL证书就是遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。由于http明文方式
Wesley13 Wesley13
3年前
SSL 证书变革之时已至,这些变化你都清楚吗?
现代社会最离不开的是“安全”,无论是生命、财产、数据还是其他任何事物都需要各种手段来保证安全,互联网自然也无法免俗。HTTP协议作为无法加密数据,让所有通信数据都在网络中明文“裸奔”的存在,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因,而能够解决HTTP明文协议缺陷的就是HTTPS。HTTPS与SSL
Wesley13 Wesley13
3年前
HTTPS加密原理
http(超文本传输协议)一种属于应用层的协议缺点:1.通信使用明文(不加密),内容可能会被窃听2.不验证通信方的身份,因此有可能遭遇伪装3.无法证明报文的完整性,所以有可能已遭篡改优点:1.传输速度快httpsHTTPS并非是应用层的一种新协议。只是HTTP
Stella981 Stella981
3年前
Linux CA
CA(CertificateAuthority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。1.什么是CA认证?CA认证,即CA认证机构,为电子签名相关各方提供真实性、可靠性验证
Wesley13 Wesley13
3年前
HTTPS是如何保证安全的
HTTP存在的问题1.窃听风险:通信使用明文(不加密),内容可能会被窃听(第三方可能获知通信内容)2.冒充风险:不验证通信方的身份,因此有可能遭遇伪装3.篡改风险:无法证明报文的完整性,所以有可能已遭篡改HTTPS!(https://osci
Wesley13 Wesley13
3年前
HTTPS安全证书访问连接知识讲解
HTTPS安全证书访问连接知识讲解01:网络安全涉及的问题:①.网络安全问题数据机密性问题传输的数据可能会被第三方随时都能看到②.网络安全问题数据完整性问题传输的数据不能随意让任何人进行修改③.网络安全问题身份验证问题第一次通讯时,需要确认通讯双方的身份正确02:网络安
Wesley13 Wesley13
3年前
Java使用SSLSocket通信
JSSE(JavaSecuritySocketExtension)是Sun公司为了解决互联网信息安全传输提出的一个解决方案,它实现了SSL和TSL协议,包含了数据加密、服务器验证、消息完整性和客户端验证等技术。通过使用JSSE简洁的API,可以在客户端和服务器端之间通过SSL/TSL协议安全地传输数据。首先,需要将OpenSSL生成根证书CA及签
流浪剑客 流浪剑客
11个月前
终端ssh仿真工具:SecureCRT for mac最新授权码激活 支持M1
是一款功能强大的SSH和Telnet客户端,旨在提供最安全的连接和最高效的通信。它支持SSH1、SSH2以及Telnet协议,能够与各种网络设备进行安全的远程连接。SecureCRT具有多种安全功能,包括数据加密、身份验证和访问控制等,确保远程连接的安全性
马尚 马尚
6个月前
使用Python破解数字验证码
数字验证码通常用于网站或应用程序的用户身份验证和安全性保护。本文将介绍如何使用Python编写代码来破解数字验证码,以便于自动化处理验证码验证过程。1.分析验证码页面首先,我们需要分析网站或应用程序的验证码页面,了解验证码是如何呈现的以及需要提交的参数。通
马尚 马尚
6个月前
使用JavaScript破解数字验证码
数字验证码通常用于网站或应用程序的用户身份验证和安全性保护。本文将介绍如何使用JavaScript编写代码来破解数字验证码,以便于自动化处理验证码验证过程。1.分析验证码页面首先,我们需要分析网站或应用程序的验证码页面,了解验证码是如何呈现的以及需要提交的