HTTPS

10多年的安陸網(wǎng)站建設經(jīng)驗，針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。成都營銷網(wǎng)站建設的優(yōu)勢是能夠根據(jù)用戶設備顯示端的尺寸不同，自動調(diào)整安陸建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設計，從而大程度地提升瀏覽體驗。成都創(chuàng)新互聯(lián)公司從事“安陸網(wǎng)站設計”,“安陸網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

隨著 HTTPS 建站的成本下降，現(xiàn)在大部分的網(wǎng)站都已經(jīng)開始用上 HTTPS 協(xié)議。大家都知道 HTTPS 比 HTTP 安全，也聽說過與 HTTPS 協(xié)議相關(guān)的概念有 SSL 、非對稱加密、 CA證書等，但對于以下靈魂三拷問可能就答不上了：

1. 為什么用了 HTTPS 就是安全的？
2. HTTPS 的底層原理如何實現(xiàn)？
3. 用了 HTTPS 就一定安全嗎？

本文將層層深入，從原理上把 HTTPS 的安全性講透。

HTTPS 的實現(xiàn)原理

大家可能都聽說過 HTTPS 協(xié)議之所以是安全的是因為 HTTPS 協(xié)議會對傳輸?shù)臄?shù)據(jù)進行加密，而加密過程是使用了非對稱加密實現(xiàn)。但其實，HTTPS 在內(nèi)容傳輸?shù)募用苌鲜褂玫氖菍ΨQ加密，非對稱加密只作用在證書驗證階段。

HTTPS的整體過程分為證書驗證和數(shù)據(jù)傳輸階段，具體的交互過程如下：

① 證書驗證階段

1. 瀏覽器發(fā)起 HTTPS 請求
2. 服務端返回 HTTPS 證書
3. 客戶端驗證證書是否合法，如果不合法則提示告警

② 數(shù)據(jù)傳輸階段

1. 當證書驗證合法后，在本地生成隨機數(shù)
2. 通過公鑰加密隨機數(shù)，并把加密后的隨機數(shù)傳輸?shù)椒斩?/li>
3. 服務端通過私鑰對隨機數(shù)進行解密
4. 服務端通過客戶端傳入的隨機數(shù)構(gòu)造對稱加密算法，對返回結(jié)果內(nèi)容進行加密后傳輸

為什么數(shù)據(jù)傳輸是用對稱加密？

首先，非對稱加密的加解密效率是非常低的，而 http 的應用場景中通常端與端之間存在大量的交互，非對稱加密的效率是無法接受的；

另外，在 HTTPS 的場景中只有服務端保存了私鑰，一對公私鑰只能實現(xiàn)單向的加解密，所以 HTTPS 中內(nèi)容傳輸加密采取的是對稱加密，而不是非對稱加密。

為什么需要 CA 認證機構(gòu)頒發(fā)證書？

HTTP 協(xié)議被認為不安全是因為傳輸過程容易被監(jiān)聽者勾線監(jiān)聽、偽造服務器，而 HTTPS 協(xié)議主要解決的便是網(wǎng)絡傳輸?shù)陌踩詥栴}。

首先我們假設不存在認證機構(gòu)，任何人都可以制作證書，這帶來的安全風險便是經(jīng)典的“中間人***”問題。
“中間人***”的具體過程如下：

過程原理：

1. 本地請求被劫持（如DNS劫持等），所有請求均發(fā)送到中間人的服務器
2. 中間人服務器返回中間人自己的證書
3. 客戶端創(chuàng)建隨機數(shù)，通過中間人證書的公鑰對隨機數(shù)加密后傳送給中間人，然后憑隨機數(shù)構(gòu)造對稱加密對傳輸內(nèi)容進行加密傳輸
4. 中間人因為擁有客戶端的隨機數(shù)，可以通過對稱加密算法進行內(nèi)容解密
5. 中間人以客戶端的請求內(nèi)容再向正規(guī)網(wǎng)站發(fā)起請求
6. 因為中間人與服務器的通信過程是合法的，正規(guī)網(wǎng)站通過建立的安全通道返回加密后的數(shù)據(jù)
7. 中間人憑借與正規(guī)網(wǎng)站建立的對稱加密算法對內(nèi)容進行解密
8. 中間人通過與客戶端建立的對稱加密算法對正規(guī)內(nèi)容返回的數(shù)據(jù)進行加密傳輸
9. 客戶端通過與中間人建立的對稱加密算法對返回結(jié)果數(shù)據(jù)進行解密
10. 由于缺少對證書的驗證，所以客戶端雖然發(fā)起的是 HTTPS 請求，但客戶端完全不知道自己的網(wǎng)絡已被攔截，傳輸內(nèi)容被中間人全部竊取。

瀏覽器是如何確保 CA 證書的合法性？

1. 證書包含什么信息？

• 頒發(fā)機構(gòu)信息
• 公鑰
• 公司信息
• 域名
• 有效期
• 指紋
• ......

2. 證書的合法性依據(jù)是什么？

首先，權(quán)威機構(gòu)是要有認證的，不是隨便一個機構(gòu)都有資格頒發(fā)證書，不然也不叫做權(quán)威機構(gòu)。另外，證書的可信性基于信任制，權(quán)威機構(gòu)需要對其頒發(fā)的證書進行信用背書，只要是權(quán)威機構(gòu)生成的證書，我們就認為是合法的。所以權(quán)威機構(gòu)會對申請者的信息進行審核，不同等級的權(quán)威機構(gòu)對審核的要求也不一樣，于是證書也分為免費的、便宜的和貴的。

3. 瀏覽器如何驗證證書的合法性？

瀏覽器發(fā)起 HTTPS 請求時，服務器會返回網(wǎng)站的 SSL 證書，瀏覽器需要對證書做以下驗證：

1. 驗證域名、有效期等信息是否正確。證書上都有包含這些信息，比較容易完成驗證；
2. 判斷證書來源是否合法。每份簽發(fā)證書都可以根據(jù)驗證鏈查找到對應的根證書，操作系統(tǒng)、瀏覽器會在本地存儲權(quán)威機構(gòu)的根證書，利用本地根證書可以對對應機構(gòu)簽發(fā)證書完成來源驗證；

1. 判斷證書是否被篡改。需要與 CA 服務器進行校驗；
2. 判斷證書是否已吊銷。通過CRL（Certificate Revocation List 證書注銷列表）和 OCSP（Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議）實現(xiàn)，其中 OCSP 可用于第3步中以減少與 CA 服務器的交互，提高驗證效率

以上任意一步都滿足的情況下瀏覽器才認為證書是合法的。

這里插一個我想了很久的但其實答案很簡單的問題：
既然證書是公開的，如果要發(fā)起中間人***，我在官網(wǎng)上下載一份證書作為我的服務器證書，那客戶端肯定會認同這個證書是合法的，如何避免這種證書冒用的情況？
其實這就是非加密對稱中公私鑰的用處，雖然中間人可以得到證書，但私鑰是無法獲取的，一份公鑰是不可能推算出其對應的私鑰，中間人即使拿到證書也無法偽裝成合法服務端，因為無法對客戶端傳入的加密數(shù)據(jù)進行解密。

4. 只有認證機構(gòu)可以生成證書嗎？

如果需要瀏覽器不提示安全風險，那只能使用認證機構(gòu)簽發(fā)的證書。但瀏覽器通常只是提示安全風險，并不限制網(wǎng)站不能訪問，所以從技術(shù)上誰都可以生成證書，只要有證書就可以完成網(wǎng)站的 HTTPS 傳輸。例如早期的 12306 采用的便是手動安裝私有證書的形式實現(xiàn) HTTPS 訪問。

本地隨機數(shù)被竊取怎么辦？

證書驗證是采用非對稱加密實現(xiàn)，但是傳輸過程是采用對稱加密，而其中對稱加密算法中重要的隨機數(shù)是由本地生成并且存儲于本地的，HTTPS 如何保證隨機數(shù)不會被竊?。?/p>

其實 HTTPS 并不包含對隨機數(shù)的安全保證，HTTPS 保證的只是傳輸過程安全，而隨機數(shù)存儲于本地，本地的安全屬于另一安全范疇，應對的措施有安裝殺毒軟件、反***、瀏覽器升級修復漏洞等。

用了 HTTPS 會被抓包嗎？

HTTPS 的數(shù)據(jù)是加密的，常規(guī)下抓包工具代理請求后抓到的包內(nèi)容是加密狀態(tài)，無法直接查看。

但是，正如前文所說，瀏覽器只會提示安全風險，如果用戶授權(quán)仍然可以繼續(xù)訪問網(wǎng)站，完成請求。因此，只要客戶端是我們自己的終端，我們授權(quán)的情況下，便可以組建中間人網(wǎng)絡，而抓包工具便是作為中間人的代理。通常 HTTPS 抓包工具的使用方法是會生成一個證書，用戶需要手動把證書安裝到客戶端中，然后終端發(fā)起的所有請求通過該證書完成與抓包工具的交互，然后抓包工具再轉(zhuǎn)發(fā)請求到服務器，最后把服務器返回的結(jié)果在控制臺輸出后再返回給終端，從而完成整個請求的閉環(huán)。

既然 HTTPS 不能防抓包，那 HTTPS 有什么意義？
HTTPS 可以防止用戶在不知情的情況下通信鏈路被監(jiān)聽，對于主動授信的抓包操作是不提供防護的，因為這個場景用戶是已經(jīng)對風險知情。要防止被抓包，需要采用應用級的安全防護，例如采用私有的對稱加密，同時做好移動端的防反編譯加固，防止本地算法被破解。

總結(jié)

以下用簡短的Q&A形式進行全文總結(jié)：

Q: HTTPS 為什么安全？
A: 因為 HTTPS 保證了傳輸安全，防止傳輸過程被監(jiān)聽、防止數(shù)據(jù)被竊取，可以確認網(wǎng)站的真實性。

Q: HTTPS 的傳輸過程是怎樣的？
A: 客戶端發(fā)起 HTTPS 請求，服務端返回證書，客戶端對證書進行驗證，驗證通過后本地生成用于改造對稱加密算法的隨機數(shù)，通過證書中的公鑰對隨機數(shù)進行加密傳輸?shù)椒斩?，服務端接收后通過私鑰解密得到隨機數(shù)，之后的數(shù)據(jù)交互通過對稱加密算法進行加解密。

Q: 為什么需要證書？
A: 防止”中間人“***，同時可以為網(wǎng)站提供身份證明。

Q: 使用 HTTPS 會被抓包嗎？
A: 會被抓包，HTTPS 只防止用戶在不知情的情況下通信被監(jiān)聽，如果用戶主動授信，是可以構(gòu)建“中間人”網(wǎng)絡，代理軟件可以對傳輸內(nèi)容進行解密。

順手 po 一張學習的過程圖，

創(chuàng)新互聯(lián)www.cdcxhl.cn，專業(yè)提供香港、美國云服務器，動態(tài)BGP最優(yōu)骨干路由自動選擇，持續(xù)穩(wěn)定高效的網(wǎng)絡助力業(yè)務部署。公司持有工信部辦法的idc、isp許可證， 機房獨有T級流量清洗系統(tǒng)配攻擊溯源，準確進行流量調(diào)度，確保服務器高可用性。佳節(jié)活動現(xiàn)已開啟，新人活動云服務器買多久送多久。

本文名稱：HTTPS原理分析——帶著疑問層層深入-創(chuàng)新互聯(lián)
文章地址：http://chinadenli.net/article28/dsgjcp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、網(wǎng)站導航、全網(wǎng)營銷推廣、軟件開發(fā)、外貿(mào)網(wǎng)站建設、網(wǎng)站維護

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)