HTTPS原理分析

關於https

隨著 https 建站的成本下降，現在大部分的**都已經開始用上 https 協議。大家都知道 https 比 http 安全，也聽說過與 https 協議相關的概念有 ssl 、非對稱加密、 ca證書等，但對於以下靈魂三拷問可能就答不上了：

https 的實現原理

大家可能都聽說過 https 協議之所以是安全的是因為 https 協議會對傳輸的資料進行加密，而加密過程是使用了非對稱加密實現。

但其實：https 在內容傳輸的加密上使用的是對稱加密，非對稱加密只作用在證書驗證階段。

https的整體過程分為證書驗證和資料傳輸階段，具體的互動過程如下：

證書驗證階段：

資料傳輸階段：

為什麼資料傳輸是用對稱加密?

首先：非對稱加密的加解密效率是非常低的，而 http 的應用場景中通常端與端之間存在大量的互動，非對稱加密的效率是無法接受的。

另外：在 https 的場景中只有服務端儲存了私鑰，一對公私鑰只能實現單向的加解密，所以 https 中內容傳輸加密採取的是對稱加密，而不是非對稱加密。

為什麼需要 ca 認證機構頒發證書?

http 協議被認為不安全是因為傳輸過程容易被監聽者勾線監聽、偽造伺服器，而 https 協議主要解決的便是網路傳輸的安全性問題。首先我們假設不存在認證機構，任何人都可以製作證書，這帶來的安全風險便是經典的「中間人攻擊」問題。

「中間人攻擊」的具體過程如下：

如上圖所以，過程原理如下：

由於缺少對證書的驗證，所以客戶端雖然發起的是 https 請求，但客戶端完全不知道自己的網路已被攔截，傳輸內容被中間人全部竊取。

瀏覽器是如何確保 ca 證書的合法性?

1. 證書包含什麼資訊?

2. 證書的合法性依據是什麼?

所以權威機構會對申請者的資訊進行審核，不同等級的權威機構對審核的要求也不一樣，於是證書也分為免費的、便宜的和貴的。

3. 瀏覽器如何驗證證書的合法性?

以上任意一步都滿足的情況下瀏覽器才認為證書是合法的。

這裡插乙個我想了很久的但其實答案很簡單的問題：

只有認證機構可以生成證書嗎?

如果需要瀏覽器不提示安全風險，那只能使用認證機構簽發的證書。但瀏覽器通常只是提示安全風險，並不限制**不能訪問，所以從技術上誰都可以生成證書，只要有證書就可以完成**的 https 傳輸。

本地隨機數被竊取怎麼辦?

用了 https 會被抓包嗎?

但是，正如前文所說，瀏覽器只會提示安全風險，如果使用者授權仍然可以繼續訪問**，完成請求。因此，只要客戶端是我們自己的終端，我們授權的情況下，便可以組建中間人網路，而抓包工具便是作為中間人的**。通常 https 抓包工具的使用方法是會生成乙個證書，使用者需要手動把證書安裝到客戶端中，然後終端發起的所有請求通過該證書完成與抓包工具的互動，然後抓包工具再**請求到伺服器，最後把伺服器返回的結果在控制台輸出後再返回給終端，從而完成整個請求的閉環。

https 可以防止使用者在不知情的情況下通訊鏈路被監聽，對於主動授信的抓包操作是不提供防護的，因為這個場景使用者是已經對風險知情。要防止被抓包，需要採用應用級的安全防護，例如採用私有的對稱加密，同時做好移動端的防反編譯加固，防止本地演算法被破解。

本文小結

以下用簡短的q&a形式進行全文總結。

因為 https 保證了傳輸安全，防止傳輸過程被監聽、防止資料被竊取，可以確認**的真實性。

客戶端發起 https 請求，服務端返回證書，客戶端對證書進行驗證，驗證通過後本地生成用於改造對稱加密演算法的隨機數，通過證書中的公鑰對隨機數進行加密傳輸到服務端，服務端接收後通過私鑰解密得到隨機數，

之後的資料互動通過對稱加密演算法進行加解密。

防止」中間人「攻擊，同時可以為**提供身份證明。

會被抓包，https 只防止使用者在不知情的情況下通訊被監聽，如果使用者主動授信，是可以構建「中間人」網路，**軟體可以對傳輸內容進行解密。

HTTPS原理分析

HTTPS原理分析

Https簡單原理

https通訊原理

HTTPS原理分析

HTTPS原理分析

Https簡單原理

https通訊原理

相關推薦