摘要:服務(wù)端通過私鑰解密明文���,公鑰密文密文�,私鑰明文因?yàn)槲帐值倪^程中采用了非對稱加密���,客戶端本身不知道服務(wù)器的秘鑰����,這樣通信就不會被中間人劫持��。
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer 超文本傳輸安全協(xié)議)
HTTPS在傳統(tǒng)的HTTP和TCP之間加了一層用于加密解密的SSL/TLS層(安全套接層Secure Sockets Layer/安全傳輸層Transport Layer Security)層����。使用HTTPS必須要有一套自己的數(shù)字證書(包含公鑰和私鑰)。
HTTPS解決的問題
信息加密傳輸:第三方無法竊聽�����;
校驗(yàn)機(jī)制:一旦被篡改,通信雙方會立刻發(fā)現(xiàn)�����;
身份證書:防止身份被冒充�����。
HTTPS加密過程:
客戶端請求服務(wù)器獲取證書公鑰
客戶端(SSL/TLS)解析證書(無效會彈出警告)
生成隨機(jī)值
用公鑰加密隨機(jī)值生成密鑰
客戶端將秘鑰發(fā)送給服務(wù)器
服務(wù)端用私鑰解密秘鑰得到隨機(jī)值
將信息和隨機(jī)值混合在一起進(jìn)行對稱加密
將加密的內(nèi)容發(fā)送給客戶端
客戶端用秘鑰解密信息
加密過程使用了對稱加密和非對稱加密�����。
對稱加密: 客戶端和服務(wù)端采用相同的密鑰經(jīng)行加密
encrypt(明文��,秘鑰) = 密文
decrypt(密文�����,秘鑰) = 明文
非對稱加密:客戶端通過公鑰加密�。服務(wù)端通過私鑰解密
encrypt(明文�����,公鑰) = 密文
decrypt(密文,私鑰) = 明文
因?yàn)門LS握手的過程中采用了非對稱加密�����,客戶端本身不知道服務(wù)器的秘鑰�����,這樣通信就不會被中間人劫持����。此外這一步服務(wù)端還提供了證書,并且可能要求客戶端提供證書���。關(guān)于證書下文會提到���,只要有了證書,就能保證和你通信的對方是真實(shí)的����,而不是別人偽造的。
那然后驗(yàn)證證書呢�����?
客戶端獲取到了站點(diǎn)證書,拿到了站點(diǎn)的公鑰
客戶端找到其站點(diǎn)證書頒發(fā)者的信息
站點(diǎn)證書的頒發(fā)者驗(yàn)證服務(wù)端站點(diǎn)是否可信
往上回溯����,找到根證書頒發(fā)者
通過根證書頒發(fā)者一步步驗(yàn)證站點(diǎn)證書頒布者是否可信
附:
HTTPS默認(rèn)使用443端口,而HTTP默認(rèn)使用80端口����。
TLS就是從SSL發(fā)展而來的,只是SSL發(fā)展到3.0版本后改成了TLS
第一次請求中TLS握手的代價很大
后續(xù)的請求會共用第一次請求的協(xié)商結(jié)果
我的GitHub地址
參考:
劉某某_adf3
jimsshom
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/106408.html
