皖icp阜阳网站建设,设置网站关键词,定制设计网站公司,wordpress域名404作者#xff1a;轩辕之风O来源#xff1a;编程技术宇宙 浏览器我是一个浏览器#xff0c;每到夜深人静的时候#xff0c;主人就打开我开始学习。为了不让别人看到浏览记录#xff0c;主人选择了“无痕模式”。但网络中总是有很多坏人#xff0c;他们通过抓包截获我和服务… 作者轩辕之风O来源编程技术宇宙 浏览器我是一个浏览器每到夜深人静的时候主人就打开我开始学习。为了不让别人看到浏览记录主人选择了“无痕模式”。但网络中总是有很多坏人他们通过抓包截获我和服务器的通信主人干了什么请求了什么数据全被他们知道了浏览器光窃听也就罢了他们还经常篡改内容在网页里面插入诱人的小广告真是太坏了为了保护主人的隐私还他一个干净的上网环境我决定对通信加密1直接简单加密加密嘛很简单把原来要发送的数据加密处理后再发给服务器就行了。为了安全密钥当然不能固定每一次通信都要随机生成。不过接下来我犯难了我该怎么把这个秘钥告诉服务器呢服务器没有秘钥就解不了密也就不知道我在请求什么资源了。也不能直接弄个字段告诉服务器密钥那样别人也能拿到就跟没加密一样了。我左思右想灵机一动决定把密钥放在数据的开头几个字节藏起来只要私下跟服务器约定好他用这前几个字节作为密钥解密就能解开我发送的数据了。你还别说这办法还真好使我跟服务器开始秘密通信起来。后来找我使用这种办法通信的服务器变得越来越多。再后来这事就在圈子里传开了大家都知道数据的前几个字节是密钥了谁都能解密了。看来这个办法不行我得重新思考加密方法了。2非对称加密服务器告诉我我们之前用的那种加密算法叫对称加密算法也就是加密和解密使用的同一个秘钥。还有一种叫非对称加密算法这种算法有两个秘钥一个公开的叫公钥一个私藏的叫私钥。最关键的是公钥加密后只能用私钥解开反过来也一样。只要在正式的数据传输前服务器把他的公钥告诉我我后面用它加密数据就行了就算被别人抓包他也解不开因为只有拥有私钥的服务器才能解开。不得不说这非对称加密真是个好东西啊不过这样一来只能单程加密服务器能解密我发的但他发给我的我却解不了也不能让他用私钥加密我用公钥解密因为公钥是公开的谁收到都能解不安全。没办法我也弄了一对儿秘钥通信之前我们双方都交换一下彼此的公钥这样就可以双向加解密了虽然是有点麻烦但为了数据安全忍了吧3非对称与对称加密结合但我忍了没几天就忍不住了。这个非对称加密算法好是好就是加解密太费时间了导致我渲染一个网页要花很久时间卡的不行。我打算去跟服务器商量一下办法没想到服务器比我更头疼他要服务很多浏览器每一个都这么加解密把他累的够呛。于是我们决定还是用原来的对称加密算法这样快得多。但是一开始的时候可以用非对称加密算法来传输后面要用的秘钥把两种算法的优势结合起来。这一来我只需要把后面要用到的秘钥通过服务器公钥加密后发给他就行了我省去了不少事儿。4秘钥计算有一天服务器告诉我我们现在的秘钥就是一个随机数而随机数并不是真正随机的可能被预测出来所以我们得提升这个秘钥的安全性。一个随机数不够那就多弄几个一端容易被猜出来那就两端一起生成我们决定各自生成一个随机数发给对方我再额外加密传输一个随机数给服务器这一来咱们双方都有3个随机数了然后双方都用这三个随机数计算出真正的秘钥这可比一个单纯的随机数要安全得多了。不过为了验证双方计算出来的秘钥是一样的我们在正式数据传输前需要先来测试一下现在的流程变成了这个样子我们的这一方案很快得到了大家的认可圈子里的浏览器和服务器们纷纷用上了这套方案。5数字证明原以为这个方案已经万无一失了没想到我和服务器的通信还是泄露了···原来有个家伙冒充服务器跟我通信然后又冒充我跟服务器通信把我的请求进行了转发我们俩都被蒙在鼓里这就是中间人攻击。看来还缺乏一个认证机制我得知道和我通信的是不是真的服务器。经过大家的商量圈子里的服务器们推选了一个德高望重的前辈做公证人让这公证人准备一对非对称加密的密钥并在圈子里公开了公钥所有人都得把他的公钥记下来。服务器得去公证人这里先登记把自己的公钥、名字等等信息报上去公证人拿到这些信息后计算一个Hash值然后再用公证人的私钥把Hash值进行加密加密后的结果就是数字签名。证书的签发最后公证人把登记的信息和这个数字签名合在一起封装了一个新的文件发给服务器登记就完成了而这个新的文件就是数字证书。服务器拿到证书后可要好生保管因为通信的时候服务器须要将他们的证书发给我们浏览器验证。证书的验证我们浏览器拿到证书后把证书里面的信息也计算一遍Hash再用提前记录好的公证人的公钥把证书里的数字签名进行解密得到公证人计算的Hash两个一对比就知道这证书是不是公证人签发的以及有没有被篡改过了只有验证成功才能继续后面的流程要不然就是冒充的这一下总算解决了中间人冒充的问题除非中间人偷到了公证人的私钥否则他是没办法伪造出一个证书来的。非对称加密除了加密数据还能用来验证身份真是YYDS6信任链我们这加密方案一传十十传百很快就传遍了整个互联网想要使用这套方案的服务器越来越多毕竟谁都不希望自己的网站被人插入小广告。可原来的那个公证人有些忙不过来了于是大家开始推选更多的公证人公证人开始多了起来不仅多了起来而且还形成了产业链。原来的公证人变成了一代目一代目可以给新的公证人签发证书新的公证人就变成了二代目还有三代目搞得跟传销似的。原来只有一个公证人的时候大家直接保存他的公钥就行了。现在公证人越来越多我们没办法保存所有的公证人的公钥了就算能保存得下但有新的公证人出现的时候我们也做不到实时更新。于是大家约定让所有的一代目公证人自己给自己签发一个证书叫做根证书并安装在我们的操作系统中。以后在验证网站服务器的证书时就得先去验证证书的签发者然后再继续验证上一级签发者直到验证最终的签发者是不是在根证书列表中。只要最终的签发者在系统的根证书列表中那这条链上签署的证书就都是受信任的否则我们就会弹窗提醒用户如今这套方案已经推广到了全世界现在遇到使用这套方案的网站服务器时我们浏览器就会在地址栏加上一把小锁表示网站很安全还把URL地址从HTTP改成了HTTPS···PS:本文用故事形式讲述了HTTPS是如何工作的只是起一个引领入门的作用略去了很多细节实际情况远比这复杂比如对称加密秘钥的计算方式、秘钥的交换算法RSA、DH、ECDH还有区别双方测试秘钥正确性的方式都没有体现出来有机会再写一篇正经的技术文来详细抓包剖析HTTPS详细流程。希望本文对大家理解HTTPS机制有一些帮助再看其他专业介绍时不再吃力。往期推荐亚马逊独霸美国安云计算未来十年订单IT 行业如何打破年龄焦虑那些站在微软云起点的中国创业者漫画什么是建造者模式点分享点收藏点点赞点在看
