https加密&认证过程详解

文章目录

  • 一、https加密过程:
    • [1.1 对称/非对称加密](#1.1 对称/非对称加密)
    • [1.2 加密过程](#1.2 加密过程)
    • [1.3 公钥被替换的风险](#1.3 公钥被替换的风险)
    • [1.4 CA机构和TLS证书](#1.4 CA机构和TLS证书)
    • [1.5 基于TLS证书的https](#1.5 基于TLS证书的https)
      • [1.5.1 认证过程](#1.5.1 认证过程)
      • [1.5.2 CA机构的职责](#1.5.2 CA机构的职责)

一、https加密过程:

首先我们要知道对称加密和非对称加密

1.1 对称/非对称加密

  • 对称加密:加密和解密使用同一个密钥。
  • 非对称加密:加密和解密不是使用同一个密钥,密钥成对出现。公钥加密的数据只能由私钥解密,私钥加密的数据只能由公钥解密。

1.2 加密过程

  1. 首先是非对称加密:服务器生成公私钥,然后将公钥发送给浏览器。浏览器生成一段随机数据并使用公钥加密后发送给服务器。服务器使用私钥解密后获得这个随机数据。
  2. 然后是对称加密:浏览器和服务器都拥有这段随机数据(对称密钥),之后的数据都使用这个密钥进行加密传输。

这样的话,就算在公钥的传输过程中,攻击者获得了公钥,由于没有私钥也无法解密。看起来是安全的了。

1.3 公钥被替换的风险

但是,假如在服务器发送公钥给浏览器的时候,公钥被拦截且被攻击者替换成了自己的公钥然后发送给浏览器。浏览器使用攻击者的公钥加密生成的随机数据然后发送给服务器。攻击者拦截到这段数据然后使用自己的私钥解密得到了明文(对称密钥)。

然后使用最开始的服务器公钥对这段明文进行加密,返回给服务器。这样攻击者也得到了对称密钥,后续的加密也就毫无意义。攻击者就像一个黑中介一样两头骗。

问题的关键就在于:传输的公钥并不能表明自己的身份,不知道他是服务器公钥还是攻击者公钥

1.4 CA机构和TLS证书

然后可以引入公钥的加密和认证机制,从而防止公钥被篡改。

这里有一个CA机构,它有一对公私钥。服务器端需要将自己的公钥域名机构等数据集合信息发送给CA机构,然后CA机构使用自己的私钥进行加密(数据的哈希值进行加密)得到签名。然后将这段明文信息和签名放在一起发送给申请者,这就是TLS证书

1.5 基于TLS证书的https

1.5.1 认证过程

  1. 服务器将申请的TLS证书发送给浏览器,浏览器使用CA机构公开的公钥对TSL证书签名进行解密。如果解密结果和TLS证书明文部分一致则通过认证。
  2. 浏览器提取TLS证书公钥部分,并生成一段随机数据,加密后发送给服务器。服务器使用私钥解密得到明文,后续使用它进行对称加密。

1.5.2 CA机构的职责

如果攻击者窃取到TLS证书,然后将公钥部分修改为自己的公钥,那么浏览器那边解密后的明文和证书明文将不一致,从而拒绝访问。

如果攻击者自己也去CA机构申请了证书,然后将拦截到的证书替换成自己的证书发送给浏览器,这样浏览器解密后的明文和证书明文确实一致,但是浏览器访问地址和证书域名对不上,从而拒绝访问。

可以看出CA机构是非常关键的,如果CA机构错误的签发了一张和域名和机构信息都是被攻击站点,但公钥是攻击者的TLS证书,那么浏览器就无法识破其中的玄机。数据传输也就不安全了。

相关推荐
周之鸥2 小时前
从零部署 Astro 静态网站到云服务器(含 HTTPS 一键配置)
运维·服务器·ubuntu·http·https·astro
2501_915921438 小时前
苹果软件混淆与 iOS 应用加固白皮书,IPA 文件加密、反编译防护与无源码混淆方案全解析
android·ios·小程序·https·uni-app·iphone·webview
K_i13410 小时前
HTTP与HTTPS:从明文到加密的Web安全革命
web安全·http·https
KnowSafe11 小时前
iTrustSSL和RapidSSL哪个性价比更高?
ssl·rapidssl·itrustssl
BenChuat1 天前
使用 httpsok 给 QNAP NAS 添加阿里云域名的永久免费 HTTPS(SSL)证书
阿里云·https·ssl
全栈小51 天前
【小程序】微信开发者工具上调用api接口可以,到了线上调用发现提示wx.request调用报错,原来是https协议问题
网络协议·小程序·https
福大大架构师每日一题1 天前
nginx 1.29.2 发布:AWS-LC 支持、QUIC及SSL优化等重要更新
nginx·ssl·aws
帅帅梓2 天前
nginx访问控制 用户认证 https
运维·nginx·https
游戏开发爱好者83 天前
BShare HTTPS 集成与排查实战,从 SDK 接入到 iOS 真机调试(bshare https、签名、回调、抓包)
android·ios·小程序·https·uni-app·iphone·webview
2501_915106324 天前
苹果软件加固与 iOS App 混淆完整指南,IPA 文件加密、无源码混淆与代码保护实战
android·ios·小程序·https·uni-app·iphone·webview