如何给网站添加网站地图,东莞松山湖华为小镇,延吉 网站开发,网站搜索出来有图片背景 最近基于兴趣学学习了下 HTTPS 相关的知识#xff0c;在此记录下学习心得。 在上网获取信息的过程中#xff0c;我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点#xff0c;浏览器的地址栏中出现绿色图标时#xff0c;意味着该站点支持 HTTPS 信息… 背景 最近基于兴趣学学习了下 HTTPS 相关的知识在此记录下学习心得。 在上网获取信息的过程中我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点浏览器的地址栏中出现绿色图标时意味着该站点支持 HTTPS 信息传输方式。我们知道 HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体也就是 HTTPS。这个 S 可以是 TLS安全传输层协议、也可以是 SSL安全套接层不过我更认可另一个抽象概括的说法HTTPSecurity。不过要谈论 HTTPS 为何安全还得从 HTTP 为何不安全说起。 假设你现在正坐在教室里上课现在你非常想和走道旁的迷人的 TA 说一些话一般这个时候你会用“传纸条”的方式来交流。而这个方式和 TCP/IP 协议基本的工作模式十分相像 通过小动作引起对方注意对方以多种可能的方式注视、肢体语言等回应于你你确认对方感知到你后将纸条传给对方对方阅读纸条 对方给予你阅读后的反应 怎么样这个流程是不是很熟悉 如果你要传递纸条的 TA 距离你很远怎么办HTTP 协议就是指你在纸条上写明你要传给的 TA 是谁或者 TA 的座位在哪接着只需要途径的同学拿到纸条后根据纸条上的指示依次将纸条传过去就 OK 了。 这个时候问题来了途径的同学完全可以观看并知道你在纸条上写了什么。 这就是 HTTP 传输所面临的问题之一中间人攻击指消息传递的过程中处在传递路径上的攻击者可以嗅探或者窃听传输数据的内容。 加密 HTTPS 针对这个问题采用了“加密”的方式来解决。最著名原始的加密方法就是对称加密算法了就是双方约定一个暗号用什么字母替换什么字母之类的。现在一般采用一种叫 AES高级加密算法的对称算法。 对称加密算法既指加密和解密需要使用的密钥 key 是一样的。 AES 在数学上保证了只要你使用的 key 足够长破解几乎是不可能的除非光子计算机造出来了 我们先假设在没有密钥 key 的情况下密文是无法被破解的然后再回到这个教室。你将用 AES 加密后的内容噌噌噌地写在了纸条上正要传出去的时候你突然想到TA 没有 key 怎么解密内容呀或者说应该怎么把 key 给TA 如果把 key 也写在纸条上那么中间人照样可以破解窃听纸条内容。也许在现实环境中你有其他办法可以把 key 通过某种安全的渠道送到 TA 的手里但是互联网上的实现难度就比较大了毕竟不管怎样数据都要经过那些路由。 于是聪明的人类发明了另一种加密算法——非对称加密算法。这种加密算法会生成两个密钥key1 和 key2。凡是 key1 加密的数据key1 自身不能解密需要 key2 才能解密凡事 key2 加密的数据key2 自身不能解密只有 key1 才能解密。 目前这种算法有很多中最常用的是 RSA。其基于的数学原理是 两个大素数的乘积很容易算但是用这个乘积去算出是哪两个素数相乘就很复杂了。好在以目前的技术分解大数的素因确实比较困难尤其是当这个大数足够大的时候通常使用2的10次方个二进制位那么大就算是超级计算机解密也需要非常长的时间。 现在就把这种非对称加密的方法应用在我们教室传纸条的场景里。 你在写纸条内容之前先用 RSA 技术生成了一对密钥 k1 和 k2。你把 k1 用明文传了出去路经也许有人会截取但是没有用k1 加密的数据需要 k2 才可以破解而 k2 在你自己手中。k1 传到了目的人目的人会去准备一个接下来准备用于对称加密AES的传输密钥 key然后用收到的 k1 把 key 加密传给你。 你用手上的 k2 解出 key 后全教室只有你和你的目的人拥有这个对称加密的 key你们俩就可以尽情聊天不怕窃听啦~ 这里也许你会有问题为什么不直接用非对称加密来加密信息而是加密 AES 的 key 呢因为非对称加密和解密的平均消耗时间比较长为了节省时间提高效率我们通常只是用它来交换密钥而非直接传输数据。 然而使用非对称加密真的可以防范中间人攻击吗虽然看上去很安全但是实际上却挡不住可恶的中间人攻击。 假设你是 A你的目的地是 B现在要途径一个恶意同学M。 中间人的恶意之处在于它会伪装成你的目标。 当你要和 B 完成第一次密钥交换的时候M 把纸条扣了下来假装自己是B并伪造了一个 key然后用你发来的 k1 加密了 key 发还给你。 你以为你和 B 完成了密钥交换实际上你是和 M 完成了密钥交换。同事 M 和 B 完成一次密钥交换让 B 以为和 A 你完成了密钥交换。 现在整体的加密流程变成了A加密链接1-M(明文)-B(加密链接2)的情况了这时候 M 依然可以知道A和B传输的全部消息。 这个时候就是体现 HTTPS 和传纸条的区别了。在教室里你是和一位与你身份几乎对等的的对象来通信而在访问网站时对方往往是一个比较大或者知名的服务者他们有充沛的资源或许他们可以向你证明他们的合法性。 此时我们需要引入一个非常权威的第三方一个专门用来认证网站合法性的组织可以叫做 CACertificate Authority。各个网站服务商可以向 CA 申请证书使得他们在建立安全连接时可以带上 CA 的签名。而 CA 得安全性是由操作系统或者浏览器来认证的。 你的 Windows、Mac、Linux、Chrome、Safari 等会在安装的时候带上一个他们认为安全的 CA 证书列表只有和你建立安全连接的网站带有这些CA的签名操作系统和浏览器才会认为这个链接是安全的否则就有可能遭到中间人攻击。 一旦某个 CA 颁发的证书被用于的非法途径那么这个 CA 之前颁发过的所有证书都将被视为不安全的这让所有 CA 在颁发证书时都十分小心所以 CA 证书在通常情况下是值得信任的。 总结 使 HTTP 后面增加一个SSecurity的技术正是 对称加密 非对称加密 CA 认证 这三种技术的混合体。当然这个主要是 HTTPS 的基本原理真正实际中的 HTTPS 的协议是比以上的描述更为复杂一些的并且其中任何一步稍有闪失整个流程都将不再安全。 这也是为什么 HTTPS 协议从 SSL 1.0升级到 SSL 3.0再被 TLS 1.0 现在被 TLS 1.3取代其背后都是一个个细节上的优化以防有任何闪失。 TLS 协议相比 SSL 协议增加了传输层的安全保证。 转载于:https://www.cnblogs.com/bugly/p/5543417.html
