广西住房城乡建设厅官方网站,交友免费的网站建设,个体户 做网站,电子商务网站建设策划书作者 | 轩辕之风来源 | 编程技术宇宙大家好#xff0c;我是轩辕。上周#xff0c;微信里有个小伙伴儿给我发来了消息#xff1a;随后#xff0c;我让他截了一个完整的图#xff0c;我一瞅#xff0c;是HTTPS啊#xff01;没用HTTP#xff01;再一瞅#xff0c;是www.b… 作者 | 轩辕之风来源 | 编程技术宇宙大家好我是轩辕。上周微信里有个小伙伴儿给我发来了消息随后我让他截了一个完整的图我一瞅是HTTPS啊没用HTTP再一瞅是www.baidu.com啊不是什么山寨网站我瞬间明白了些什么让他点击了一下浏览器地址栏中那个表示安全的小锁标志查看了一下网站使用的HTTPS证书。果然不出我之所料证书不是官方的官方的证书长这样而那个假的证书是他们公司签发的看来他们公司开始对HTTPS流量做解析了这家伙瞬间瑟瑟发抖···今天就来跟大家聊一下HTTPS真的安全吗现如今大家每天上网基本上看到的都是使用了HTTPS的网站有时候特意想找一个HTTP的网站来让新同学练习抓包分析都不好找。但在几年前差不多我刚刚开始毕业工作2014年的时候情况却不是这样的网络上还有大量使用HTTP的网站。大家知道HTTP是超文本传输协议数据内容在网络中都是明文传输的非常不安全。同在一个宿舍里的同学随便搞一个中间人劫持就能监听到你浏览了什么视频学习网站。不仅如此上网链路中包括寝室路由器在内的各级网络设备都可以探知你的数据甚至给你插入小广告其实这种现象现在依然存在尤其是很多医院、学校的网站还是很多都是用HTTP特别容易粘上小广告一不小心就跳到了广告页面真是防不胜防。不久网站HTTPS化的浪潮很快打来通过加密这一最简单直接的办法将浏览器上网过程中传输的数据进行加密保护上网内容的安全性得到了极大的提升。我之前写过一篇故事深入浅出的描述了HTTPS的工作原理还不懂的小伙伴儿可以学习一下我经常也会在面试中考察候选人这个问题这可以迅速帮助我知道对方对HTTPS的了解程度。为了一个HTTPS浏览器操碎了心···咱们通过下面的快问快答环节来简单总结一下。HTTPS为什么安全呢因为数据加密了啊~那数据加密的秘钥怎么来的是双方通过相同的随机数计算出来的。那随机数怎么传输的使用非对称加密传输的浏览器使用服务器提供的公钥加密只有服务器使用自己的私钥才能解开别人解不开。你怎么知道那是服务器的公钥万一是别人的中间人攻击呢有证书来证明服务器身份证书万一是假的呢不可能假的证书不是受信任的机构签发的浏览器会验证通不过。那浏览器怎么知道证书的签发机构是不是受信任的因为受信任机构的根证书安装到了系统中你总得相信微软吧要是假的根证书被安装进了系统咋办看到了吧HTTPS能够安全的基石是非对称加密非对称加密建立的前提是对方真的是对方如果这一个前提不成立后面的一切都是假的网站服务器使用HTTPS进行通信时会提供一个用于证明身份的证书这个证书将会由某个受信任的机构签发。浏览器拿到这个证书后会校验证书的合法性去检查证书的签发机构是不是受信任的。那如何去检查签发机构是不是受信任的呢答案是继续检查签发机构的证书看看是谁给他签发的一直这样追溯直到找到最终的签发者看看最终的签发者的证书是不是安装在操作系统的受信任的根证书列表中。是不是已经晕了没关系我们来用百度的那个证书为例看一下这个过程你就知道什么意思了。你可以通过点击证书路径tab页面查看证书的签发链条通过这个树形结构图可以清晰地看到baidu.com这个域名使用的证书是由名为GlobalSign Organization Validation CA - SHA256 - G2的颁发者签发的。而这个颁发者的证书又是由GlobalSign Root CA - R1签发的。浏览器拿到这个最顶层的签发证书后去操作系统安装的受信任的根证书列表中一找嘿还真让它找着了于是浏览器信任了这个证书继续接下来的通信过程。如果找不到浏览器就会弹出不受信任的消息提醒用户要当心了而如果有人在你的电脑中安装了一个自己的根证书进去骗过浏览器这一切安全的根基也就倾覆了。而文章开头那个小伙伴儿之所以弹出了那个窗口多半是根证书还没安装进去就开始了HTTPS劫持。因为重启之后便再也没有这些提示信息一切如往常一样风平浪静只不过上网的流量已经被公司悉数掌握。看到这里还不赶紧点开浏览器地址栏的那把锁看看证书的签发机构是不是你们公司如果是那恭喜你了~往期推荐低代码发展专访系列之八低代码平台能够打破企业「应用孤岛」现象吗Medusa又一个开源的替代品数字孪生交通到底有啥用快速搭建实验环境使用 Terraform 部署 Proxmox 虚拟机点分享点收藏点点赞点在看
