htps原理证书传递、验证和数据加密、解密过程解析
https原理证书传递、验证和数据加密、解密过程解析
我们都知道H TTPS能够加密信息以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用H TTPS协议。
HTTPS简介
HTTPS其实是有两部分组成 HTTP+SSL/TLS也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密所以传输的数据都是加密后的数据。具体是如何进行加密解密验证的且看下图。
1.客户端发起HTTPS请求
htps原理证书传递、验证和数据加密、解密过程解析
这个没什么好说的就是用户在浏览器里输入一个h tt p s网址然后连接到s e rve r的443端口。
2.服务端的配置
采用H TTPS协议的服务器必须要有一套数字证书可以自己制作也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过才可以继续访问而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择有1年的免费服务)。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙你可以把锁头给别人别人可以用这个锁把重要的东西锁起来然后发给你因为只有你一个人有这把钥匙所以只有你才能看到被这把锁锁起来的东西。
3.传送证书
这个证书其实就是公钥只是包含了很多信息如证书的颁发机构过期时间等等。
4.客户端解析证书
这部分工作是有客户端的TLS来完成的首先会验证公钥是否有效比如颁发机构过期时间等等如果发现异常则会弹出一个警告框提示证书存在问题。如果证书没有问题那么就生成一个随即值。然后用证书对该随机值进行加密。就好像上面说的把随机值用锁头锁起来这样除非有钥匙不然看不到被锁住的内容。
5.传送加密信息
这部分传送的是用证书加密后的随机值目的就是让服务端得到这个随机值以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
6.服务段解密信息
htps原理证书传递、验证和数据加密、解密过程解析
服务端用私钥解密后得到了客户端传过来的随机值(私钥) 然后把内容通过该值进行对称加密。所谓对称加密就是将信息和私钥通过某种算法混合在一起这样除非知道私钥不然无法获取内容而正好客户端和服务端都知道这个私钥所以只要加密算法够彪悍私钥够复杂数据就够安全。
7.传输加密后的信息
这部分信息是服务段用私钥加密后的信息可以在客户端被还原。
8.客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息于是获取了解密后的内容。整个过程第三方即使监听到了数据也束手无策。
SSL的位置
SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层而是传递给SSL层SSL层对从应用层收到的数据进行加密并增加自己的SSL头。如下图所示
RSA性能是非常低的原因在于寻找大素数、大数计算、数据分割需要耗费很多的CPU周期所以一般的HTTPS连接只在第一次握手时使用非对称加密通过握手交换对称加密密钥在之后的通信走对称加密。握手过程如下图所示
htps原理证书传递、验证和数据加密、解密过程解析
H TTPS在传输数据之前需要客户端浏览器与服务端网站之间进行一次握手在握手过程中将确立双方加密传输数据的密码信息。 TLS/SSL协议不仅仅是一套加密传输的协议更是一件经过艺术家精心设计的艺术品TLS/SSL中使用了非对称加密对称加密以及HASH算法。握手过程的具体描述如下
1.浏览器将自己支持的一套加密规则发送给网站。
2.网站从中选出一组加密算法与HASH算法并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址加密公钥以及证书的颁发机构等信息。
3.浏览器获得网站证书之后浏览器要做以下工作a)验证证书的合法性颁发证书的机构是否合法证书中包含的网站地址是否与正在访问的地址一致等 如果证书受信任则浏览器栏里面会显示一个小锁头否则会给出证书不受信的提示。b)如果证书受信任或者是用户接受了不受信的证书浏览器会生成一串随机
htps原理证书传递、验证和数据加密、解密过程解析
数的密码并用证书中提供的公钥加密。c)使用约定好的HASH算法计算握手消息并使用生成的随机数对消息进行加密最后将之前生成的所有信息发送给网站。
4.网站接收浏览器发来的数据之后要做以下的操作a)使用自己的私钥将信息解密取出密码使用密码解密浏览器发来的握手消息并验证HASH是否与浏览器发来的一致。b)使用密码加密一段握手消息发送给浏览器。
5.浏览器解密并计算握手消息的HASH 如果与服务端发来的HASH一致此时握手过程结束之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
浏览器与网站互相发送加密的握手消息并验证目的是为了保证双方都获得了一致的密码并且可以正常的加密解密数据为后续真正数据的传输做一次测试。另外 HTTPS一般使用的加密与HASH算法如下
1、非对称加密算法 RSADSA/DSS
2、对称加密算法AES RC43DES
3、 HASH算法MD5SHA1 SHA256
racknerd从成立到现在发展是相当迅速,用最低的价格霸占了大部分低端便宜vps市场,虽然VPS价格便宜,但是VPS的质量和服务一点儿都不拉跨,服务器稳定、性能给力,尤其是售后方面时间短技术解决能力强,估计这也是racknerd这个品牌能如此成功的原因吧! 官方网站:https://www.racknerd.com 多种加密数字货币、信用卡、PayPal、支付宝、银联、webmoney,可...
PIGYun是成立于2019年的国人商家,提供香港、韩国和美西CUVIP-9929等机房线路基于KVM架构的VPS主机,本月商家针对韩国首尔、美国洛杉矶CUVIP-AS29、GIA回程带防御等多条线路VPS提供6-8.5折优惠码,优惠后韩国首尔CN2混合BGP特惠型/美国洛杉矶GIA回程带10Gbps攻击防御VPS主机最低每月14.4元起。下面列出几款不同机房VPS主机配置信息,请留意不同优惠码。...
hostkvm本月对香港国际线路的VPS、韩国CN2+bgp线路的VPS正在做7折终身优惠,对日本软银线路、美国CN2 GIA线路、新加坡直连线路的VPS进行8折终身优惠促销。所有VPS从4G内存开始支持Windows系统,当然主流Linux发行版是绝对不会缺席的!官方网站:https://hostkvm.com香港国际线路、韩国,7折优惠码:2021summer日本、美国、新加坡,8折优惠码:2...