HTTPS验证流程

http通常是直接和TCP进行通信的,而https中http是和SSL通信,再由SSL与TCP进行通信。SSL协议是一个介于应用层和传输层之间的一个安全协议。

1.对称加密与非对称加密

  1. 对称加密: 加密和解密方式都使用同一个私钥和公开的加密算法,优点是加密速度快,缺点是密钥需要共享。私钥共享就会使得其安全性受到威胁。
  2. 非对称加密: 非对称加密指的是加密与解密双方使用一对公钥和私钥相配合,加密方使用公钥加密,解密方使用私钥解密。或者反过来,解密方使用公钥加密,加密方使用私钥解密。优点是安全性高,缺点是加密速度慢。

而https则使用两种加密方式混合使用,即SSL协议中使用的对称加密和非对称加密。

  • 使用非对称加密方式安全的交换所需要的密钥。
  • 确保交换的密钥安全之后,放弃非对称加密,使用对称加密进行通信。

2. https的通信流程

  1. 客户端发起https请求,请求连接到服务器的443端口。
  2. 服务器需要提前保存已经申请好的ssl证书,这个证书其实就是一对公钥和私钥。服务器将证书发送给客户端作为非对称加密的公钥。
  3. 客户端的TLS来解析证书,验证公钥是否有效,如是否是受信任的机构颁发,是否已过期。如果发现异常,就会弹出一个警示框提示证书有问题。如果公钥合格,则会生成一个随机值,并使用公钥将这个随机值加密,这个值就是后续使用对称加密的密钥。至此,https的第一段http请求结束。
  4. 在将随机值加密之后,客户端会发起第二段http请求,将加密后的随机值发送给服务端。服务端拿到随机值之后使用之前的私钥对其进行解密,得到了随机值的原文,作为后续对称加密的密钥。
  5. 随后服务器通过随机值密钥来将所请求的数据进行对称加密,然后发送给客户端。客户端拿到加密数据之后,使用随机值密钥进行解密。至此,https的通信结束。

所以https统计主要分为两个阶段:

  • .证书验证阶段:
  • 浏览器发送请求
  • 服务器返回证书
  • 客户端验证证书是否有效
  1. 数据传输阶段:
  • 证书合法则生成随机值并加密
  • 浏览器发送http请求将随机值发送给服务器
  • 服务器使用私钥解密随机值并使用随机值加密数据返回
  • 浏览器接收到数据并使用随机值解密
相关推荐
kyriewen7 分钟前
我看完这篇安全论文——AI推荐的npm包,92%是编出来的
前端·javascript·ai编程
2501_915106321 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
小心我捶你啊2 小时前
数据采集和Web解锁不是一回事,从用途到规则区分
前端·爬虫·网络协议
hunterandroid2 小时前
[鸿蒙从零到一] ArkUI 基础组件实战:Text、Image、Button 与 TextInput
前端
fsssb2 小时前
Chromium 源码学习笔记(五):一次点击,在进入 JS 之前先经历了什么?
前端
hunterandroid2 小时前
WorkManager 可靠性实战:唯一任务、重试与幂等设计
android·前端
鹿目2 小时前
使用 Vant CLI 搭建 UI 组件库:从 H5 到小程序跨平台
前端·javascript
默_笙2 小时前
😭 我花了两小时找了一个数据结构 bug,才把"迷你 Cursor"跑起来,绝望(bushi)
前端·javascript
竹林8182 小时前
wagmi v2 监听合约事件踩坑记:从 `useContractEvent` 到 `watchContractEvent`,我重构了三版才搞定实时数据流
前端·javascript