https原理

首先说一下几个概念:对称加密、非对称加密

对称加密:

客户端和服务端使用同一个秘钥,分两种情况:

1、所有的客户端和服务端使用同一个秘钥,这个秘钥被泄漏后数据不再安全

2、每个客户端生成一个秘钥,如果客户端比较多,这样在服务端就有很多个秘钥,对服务端造成压力

非对称加密:

1、客户端和服务端使用不同的秘钥,服务端生成私钥和公钥,在客户端请求服务端建立连接时 服务端将公钥发给客户端,私钥只在服务端保存

2、私钥加密的公钥可以解密,公钥加密的私钥可以解密,公钥加密的公钥不能解密,私钥加密的私钥不能解密

公钥和私钥从哪里来:在服务端通过openSSL生成私钥,然后通过私钥再生成公钥,这样保证了私钥和公钥的关联

三次握手和四次握手:

客户端和服务端成功建立连接的过程叫做三次握手,建立连接之后客户端需要验证证书的合法性、生成 session secret 用于数据传输的对称加密等,具体步骤参考 HTTPS四次握手的过程-转载 - 知乎

Https的实现原理:

https的过程分为证书验证和数据传输阶段,具体交互过程如下,在证书验证阶段采用非对称加密,数据传输阶段采用对称加密,因为对称加密的效率高于非对称加密;

https是长链接,四次握手(证书验证)成功后就可以进行数据的传输了;

证书验证阶段:

客户端向服务端发起请求时服务端会返回一个证书,证书里面就包含了公钥,客户端验证证书是否合法,如不合法则会出现下面类似的提示,如果要继续访问也是可以的

数据传输阶段:

1、当客户端验证证书合法,则生成一个随机数

2、通过公钥加密随机数,把加密后的随机数发给服务端

3、服务端通过私钥对随机数解密,通过这个随机数构造对称加密算法,使用算法加密数据后返回

什么样的证书才是合法的?

只有CA认证的权威机构颁发 的证书才认为是合法证书,这样就避免了"中间人攻击"问题:

中间人攻击是在客户端和服务端之间穿件一个伪服务,客户端从这个伪服务中获取公钥、收发数据等,这个伪服务从真正的服务器上获得公钥和收发数据

因为伪服务不是一个CA认证的机构,它生成的证书就是一个无效证书,只有真正的服务器的证书才是有效的

证书的验证:

一个证书通常包含以下信息:颁发者机构、有效期、公钥、所有者、签名算法、指纹等

1、每份签发证书都可以根据验证链查找对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书完成对应机构签发证书的验证

2、与 CA 服务器校验判断证书是否被篡改

3、通过 CRL和 OCSP验证判断证书是否已吊销

以上都满足的情况下才认为证书是合法的

相关推荐
诗句藏于尽头6 小时前
完成ssl不安全警告
网络协议·安全·ssl
会飞的鱼先生9 小时前
Node.js-http模块
网络协议·http·node.js
snoopyfly~11 小时前
Ubuntu 24.04 LTS 服务器配置:安装 JDK、Nginx、Redis。
java·服务器·ubuntu
Me4神秘11 小时前
Linux国产与国外进度对垒
linux·服务器·安全
-qOVOp-13 小时前
408第三季part2 - 计算机网络 - ip分布首部格式与分片
网络协议·tcp/ip·计算机网络
数通Dinner13 小时前
RSTP 拓扑收敛机制
网络·网络协议·tcp/ip·算法·信息与通信
牛奶咖啡1314 小时前
Linux系统的常用操作命令——文件远程传输、文件编辑、软件安装的四种方式
运维·服务器·软件安装·linux云计算·scp文件远程传输·vi文件编辑·设置yum的阿里云源
weixin_4373982114 小时前
转Go学习笔记(2)进阶
服务器·笔记·后端·学习·架构·golang
tan77º15 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp
szxinmai主板定制专家16 小时前
【精密测量】基于ARM+FPGA的多路光栅信号采集方案
服务器·arm开发·人工智能·嵌入式硬件·fpga开发