小白学安全之HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。今天,我们就来详细了解下浏览网站经常使用到的HTTPS.

也许一个时代即将来临

2018年7月,Google即将发布新版本Chrome68,在这个版本中,Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页(如12306)时,会收到浏览器的不安全提示。

1.png

以Chrome的近60%的个人电脑市场占有率,这几乎会引领一个时代,会强迫更多的公司将网站从HTTP转换为HTTPS。设想一下,两个竞争公司的官网,一个提示安全一个提示不安全,带来的将是毁灭性的打击。

为什么HTTPS是安全的

简单来讲HTTPS就是HTTP+SSL(或TLS),通加入SSL至少可以解决以下安全问题:

1.  通信数据明文传输问题;

简单讲一下对称加密与非对称加密:简而言之,对称加密就是加密与解密使用了相同的密钥,非对称加密的加密与解密使用了不同密钥。

再简单讲一下SSL:SSL全程为安全套接层(SecureSockets Layer),使用非对称加密算法 RSA、ECC等。理论上非对称加密算法可破解,但以目前的计算能力破解2048位的RSA可能要80年(也许以后量子计算可以秒了RSA),所以目前来说,SSL依然时安全的。

由于使用了HTTPS协议的网站与客户端之间的数据都是经过SSL加密的,所以解决了通信过程中的机密性与完整性的问题。

2.png

2.  信任问题。

使用了HTTPS的网站具有可以公开的公钥,这个公钥相当于我们的身份证,网站将公钥去第三方权威机构(CA,CertificationAuthority)进行认证,这个CA相当于我们的公安局。同样由于非对称加密算法如RSA的原因,想破解出这个公钥对应的私钥是相当困难的,我们信任权威机构CA,就信任了CA给与网站的身份证明。

总而言之,CA可以证明你是你自己,360是360。

3.jpg

HTTPS是怎么工作的

非对称加密算法是相对安全的,但却也耗费很多系统资源。相比之下,对称加密使用系统资源较少,适合于大量数据或批量数据的加密。

为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,可以看下图了解工作过程。

HTTPS工作过程有以下几个步骤:

1.  浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型;

2.  服务器接到请求,确定加密算法;

3.  服务器将数字证书反馈之浏览器;

4.  浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;

5.  浏览器将密文发送至服务器;

6.  服务器使用私钥进行解密得到会话密钥R;

7.  服务器使用会话密钥R将网页内容反馈之浏览器;

8.  浏览器使用会话密钥R解密,获得网页内容。

总结

至此,HTTPS的介绍就讲的差不多了,目前全世界人民愈加重视安全,相信到2018年7月后,Google将会引领一波潮流,将HTTP拍死在沙滩上。

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 小白学安全之HTTPS

赞 (0)