域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

HTTPS 的底層原理如何實(shí)現(xiàn)?

為什么需要 CA 認(rèn)證機(jī)構(gòu)頒發(fā)證書?

瀏覽器是如何確保 CA 證書的合法性?

大家都知道 HTTPS 比 HTTP 安全，也聽說過與 HTTPS 協(xié)議相關(guān)的概念有 SSL 、非對(duì)稱加密、 CA證書等，但是以上的靈魂三拷問你答的上來嗎?怕是回答很大可能是NO!

今日天威誠(chéng)信就帶你層層深入，從原理上為你把 HTTPS 的安全性講透。

HTTPS 的底層原理如何實(shí)現(xiàn)?

大家可能都聽說過 HTTPS 協(xié)議之所以是安全的是因?yàn)?HTTPS 協(xié)議會(huì)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，而加密過程是使用了非對(duì)稱加密來實(shí)現(xiàn)。但其實(shí)，HTTPS 在內(nèi)容傳輸?shù)募用苌鲜褂玫氖菍?duì)稱加密，非對(duì)稱加密只作用在證書驗(yàn)證階段。

HTTPS的整體過程分為證書驗(yàn)證和數(shù)據(jù)傳輸階段，具體的交互過程如下：

① 證書驗(yàn)證階段

瀏覽器發(fā)起 HTTPS 請(qǐng)求

服務(wù)端返回 HTTPS 證書

客戶端驗(yàn)證證書是否合法，如果不合法則提示警告

② 數(shù)據(jù)傳輸階段

1.當(dāng)證書驗(yàn)證合法后，在本地生成隨機(jī)數(shù)

2.通過公鑰加密隨機(jī)數(shù)，并把加密后的隨機(jī)數(shù)傳輸?shù)椒?wù)端

3.服務(wù)端通過私鑰對(duì)隨機(jī)數(shù)進(jìn)行解密

4.服務(wù)端通過客戶端傳入的隨機(jī)數(shù)構(gòu)造對(duì)稱加密算法，對(duì)返回結(jié)果內(nèi)容進(jìn)行加密后傳輸

為什么需要 CA 認(rèn)證機(jī)構(gòu)頒發(fā)證書?

HTTP 協(xié)議被認(rèn)為不安全是因?yàn)閭鬏斶^程容易被監(jiān)聽者勾線監(jiān)聽、偽造服務(wù)器，而 HTTPS 協(xié)議主要解決的便是網(wǎng)絡(luò)傳輸?shù)陌踩詥栴}。

首先我們假設(shè)不存在認(rèn)證機(jī)構(gòu)，任何人都可以制作證書，這帶來的安全風(fēng)險(xiǎn)便是經(jīng)典的“中間人攻擊”問題。

“中間人攻擊”的具體過程如下：

過程原理：

1. 本地請(qǐng)求被劫持(如DNS劫持等)，所有請(qǐng)求均發(fā)送到中間人的服務(wù)器

2.中間人服務(wù)器返回中間人自己的證書

3.客戶端創(chuàng)建隨機(jī)數(shù)，通過中間人證書的公鑰對(duì)隨機(jī)數(shù)加密后傳送給中間人，然后憑隨機(jī)數(shù)構(gòu)造對(duì)稱加密對(duì)傳輸內(nèi)容進(jìn)行加密傳輸

4.中間人因?yàn)閾碛锌蛻舳说碾S機(jī)數(shù)，可以通過對(duì)稱加密算法進(jìn)行內(nèi)容解密

5.中間人以客戶端的請(qǐng)求內(nèi)容再向正規(guī)網(wǎng)站發(fā)起請(qǐng)求

6.因?yàn)橹虚g人與服務(wù)器的通信過程是合法的，正規(guī)網(wǎng)站通過建立的安全通道返回加密后的數(shù)據(jù)

7.中間人憑借與正規(guī)網(wǎng)站建立的對(duì)稱加密算法對(duì)內(nèi)容進(jìn)行解密

8.中間人通過與客戶端建立的對(duì)稱加密算法對(duì)正規(guī)內(nèi)容返回的數(shù)據(jù)進(jìn)行加密傳輸

9.客戶端通過與中間人建立的對(duì)稱加密算法對(duì)返回結(jié)果數(shù)據(jù)進(jìn)行解密

由于缺少對(duì)證書的驗(yàn)證，所以客戶端雖然發(fā)起的是 HTTPS 請(qǐng)求，但客戶端完全不知道自己的網(wǎng)絡(luò)已被攔截，傳輸內(nèi)容被中間人全部竊取。

瀏覽器是如何確保 CA 證書的合法性?

1、證書包含什么信息?

頒發(fā)機(jī)構(gòu)信息

公鑰

公司信息

域名

有效期

指紋

2、證書的合法性依據(jù)是什么?

首先，權(quán)威機(jī)構(gòu)是要有認(rèn)證的，不是隨便一個(gè)機(jī)構(gòu)都有資格頒發(fā)證書，不然也不叫做權(quán)威機(jī)構(gòu)。另外，證書的可信性基于信任制，權(quán)威機(jī)構(gòu)需要對(duì)其頒發(fā)的證書進(jìn)行信用背書，只要是權(quán)威機(jī)構(gòu)生成的證書，我們就認(rèn)為是合法的。所以權(quán)威機(jī)構(gòu)會(huì)對(duì)申請(qǐng)者的信息進(jìn)行審核，不同等級(jí)的權(quán)威機(jī)構(gòu)對(duì)審核的要求也不一樣，于是證書也分為免費(fèi)的、便宜的和貴的。

3、瀏覽器如何驗(yàn)證證書的合法性?

瀏覽器發(fā)起 HTTPS 請(qǐng)求時(shí)，服務(wù)器會(huì)返回網(wǎng)站的 SSL 證書，瀏覽器需要對(duì)證書做以下驗(yàn)證：

1. 驗(yàn)證域名、有效期等信息是否正確。證書上都有包含這些信息，比較容易完成驗(yàn)證;

2.判斷證書來源是否合法。每份簽發(fā)證書都可以根據(jù)驗(yàn)證鏈查找到對(duì)應(yīng)的根證書，操作系統(tǒng)、瀏覽器會(huì)在本地存儲(chǔ)權(quán)威機(jī)構(gòu)的根證書，利用本地根證書可以對(duì)對(duì)應(yīng)機(jī)構(gòu)簽發(fā)證書完成來源驗(yàn)證;

3.判斷證書是否被篡改。需要與 CA 服務(wù)器進(jìn)行校驗(yàn);

4.判斷證書是否已吊銷。通過CRL(Certificate Revocation List 證書注銷列表)和 OCSP(Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議)實(shí)現(xiàn)，其中 OCSP 可用于第3步中以減少與 CA 服務(wù)器的交互，提高驗(yàn)證效率

以上任意一步都滿足的情況下瀏覽器才認(rèn)為證書是合法的。

基于以上內(nèi)容，天威誠(chéng)信為你劃重點(diǎn)：

Q: HTTPS 為什么安全?

A: 因?yàn)?HTTPS 保證了傳輸安全，防止傳輸過程被監(jiān)聽、防止數(shù)據(jù)被竊取，可以確認(rèn)網(wǎng)站的真實(shí)性。

Q: HTTPS 的傳輸過程是怎樣的?

A: 客戶端發(fā)起 HTTPS 請(qǐng)求，服務(wù)端返回證書，客戶端對(duì)證書進(jìn)行驗(yàn)證，驗(yàn)證通過后本地生成用于改造對(duì)稱加密算法的隨機(jī)數(shù)，通過證書中的公鑰對(duì)隨機(jī)數(shù)進(jìn)行加密傳輸?shù)椒?wù)端，服務(wù)端接收后通過私鑰解密得到隨機(jī)數(shù)，之后的數(shù)據(jù)交互通過對(duì)稱加密算法進(jìn)行加解密。

Q: 為什么需要證書?

A: 防止”中間人“攻擊，同時(shí)可以為網(wǎng)站提供身份證明。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！