您正在学习的是试看内容,报名后可学习全部内容 报名课程
人气值 3.6k

六、web安全-深度解析HTTPS数据传输加密原理

讲座目的

目前各大浏览器已经把非http页面标示为不安全的网站,所以很多网站都在部署https,那https为什么安全,其中的加密算法是怎样的,相信还有很大一部分开发者是一种“知其然,而不知其所以然”的状态,因此特意开设一个讲座来聊聊https加密原理。

HTTPS简介

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系。用于安全的HTTP数据...

HTTPS和HTTP的区别

HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读取其中的信息,因此HTTP协议不适合传输一些敏感信息,比如账号密码、交易密码等。

为了解决HTTP协议的安全性,我们需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

HTTPS要解决的问题

信任主机的问题

采用https的服务器必须从CA申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。所以所有的银行系统网站,关键部分应用都是https 的。

通讯过程中的数据的泄密和被篡改

1. 一般意义上的https,就是服务器有一个证书。
a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。
b)服务端和客户端之间的所有通讯,都是加密的。
i. 具体讲,是客户端产生一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程。
ii. 接下来所有的信息往来就都是加密的。

分享内容

  1. https相关名词解释
  2. HTTPS握手流程
  3. 对称加密与非对称加密协作方式

部分内容

image

image