首页 > 传媒 > 关键词 > HTTPS最新资讯 > 正文

HTTPS 原理你搞懂了吗?就给我讲“中间人攻击”!

2020-01-09 08:34 · 稿源:站长之家用户投稿

 HTTPS 的底层原理如何实现?

 为什么需要 CA 认证机构颁发证书?

 浏览器是如何确保 CA 证书的合法性?

 大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但是以上的灵魂三拷问你答的上来吗?怕是回答很大可能是NO!

 今日天威诚信就带你层层深入,从原理上为你把 HTTPS 的安全性讲透。

 HTTPS 的底层原理如何实现?

 大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密,而加密过程是使用了非对称加密来实现。但其实,HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。

 HTTPS的整体过程分为证书验证和数据传输阶段,具体的交互过程如下:

 ① 证书验证阶段

 浏览器发起 HTTPS 请求

 服务端返回 HTTPS 证书

 客户端验证证书是否合法,如果不合法则提示警告

 ② 数据传输阶段

 1.当证书验证合法后,在本地生成随机数

 2.通过公钥加密随机数,并把加密后的随机数传输到服务端

 3.服务端通过私钥对随机数进行解密

 4.服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输

 为什么需要 CA 认证机构颁发证书?

 HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器,而 HTTPS 协议主要解决的便是网络传输的安全性问题。

 首先我们假设不存在认证机构,任何人都可以制作证书,这带来的安全风险便是经典的“中间人攻击”问题。

 “中间人攻击”的具体过程如下:

过程原理:

 1. 本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器

 2.中间人服务器返回中间人自己的证书

 3.客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输

 4.中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密

 5.中间人以客户端的请求内容再向正规网站发起请求

 6.因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据

 7.中间人凭借与正规网站建立的对称加密算法对内容进行解密

 8.中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输

 9.客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

 由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

 浏览器是如何确保 CA 证书的合法性?

 1、证书包含什么信息?

 颁发机构信息

 公钥

 公司信息

 域名

 有效期

 指纹

 2、证书的合法性依据是什么?

 首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

 3、浏览器如何验证证书的合法性?

 浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书,浏览器需要对证书做以下验证:

 1. 验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证;

 2.判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;

 3.判断证书是否被篡改。需要与 CA 服务器进行校验;

 4.判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第 3 步中以减少与 CA 服务器的交互,提高验证效率

 以上任意一步都满足的情况下浏览器才认为证书是合法的。

基于以上内容,天威诚信为你划重点:

 Q: HTTPS 为什么安全?

 A: 因为 HTTPS 保证了传输安全,防止传输过程被监听、防止数据被窃取,可以确认网站的真实性。

 Q: HTTPS 的传输过程是怎样的?

 A: 客户端发起 HTTPS 请求,服务端返回证书,客户端对证书进行验证,验证通过后本地生成用于改造对称加密算法的随机数,通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数,之后的数据交互通过对称加密算法进行加解密。

 Q: 为什么需要证书?

 A: 防止”中间人“攻击,同时可以为网站提供身份证明。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • Google因拒绝为新闻付费 遭出版商攻击

    DoNews 6月19日消息(记者 刘文轩)据彭博社报道,出版商贸易组织News Media Alliance在一份提交给美国司法部的报告中称,Google使新闻机构在没有获得足够报酬的情况下出让其新闻内容。美国司法部目前正在调查Google可能的违反反垄断法的行为。新闻媒体联盟表示,Google严重依赖新闻内容来吸引流量和推动其广告业务,但由于它是一家拥有着强大权力的在线平台,新闻机构很难与这家公司就新闻内容许可证一事展开实际的谈判。知情人士

  • 全球“超算”攻击潮突起:一场威胁情报的硬核之战

    不久前,欧洲多国超级计算机上演“挖矿”风暴,规模之大史无前例。5 月 11 号,位于英国爱丁堡大学的超级计算机ARCHER(弓箭手)遭受网络攻击。这台 2014 年耗资 4300 万英镑(约合人民币 4 亿元)、在退役之前发挥余热、帮助研究者对抗新冠病毒、至今仍在全球超级计算机单中排名 252 名的性能怪兽,因为黑客的攻击,不得不选择下线“保平安”。同天另一起网络攻击也导致德国 5 台超级计算机关闭。在接下来的几天里,德国其他地方?

  • B站抗癌UP主出院回家 希望网友别再攻击谩骂

    6 月 5 日,B站抗癌UP主“虎子的后半生”自称接受完第五期化疗已回到家中,说,在住院期间有网友来看他并想捐款,被他拒绝了,他也希望大家能让他平静走完生命的最后一程,别再攻击和谩骂了。

  • 亚马逊AWS称其阻止了创纪录的 2.3 Tbps DDoS 攻击

    亚马逊表示,其AWS Shield服务经受住了有记录以来最大的DDoS攻击,今年 2 月份中旬它阻止了一场2.3 Tbps DDoS攻击。

  • 亚马逊透露了如何抵制2月有史以来最大的DDoS攻击

    [TechWeb]随着几乎整个商业世界都在线迁移并进入某种形式的云空间,公司,特别是云提供商必须花费大量时间和精力来抵御各种网络攻击,这不足为奇。亚马逊网络服务公司在其最新的《 2020年第一季度季度报告》中宣布,它们可能抵御了有史以来最大的攻击之一。据该公司称,该公司最近不得不抵御2月的DDoS(分布式拒绝服务)攻击,其峰值流量为2.3 Tbps。它能够通过其AWS Shield服务缓解这种攻击,该服务旨在保护Amazon按需云计算平台

  • 网宿科技发布2019年中国互联网安全报告:日均抵御33.37亿次攻击,云上攻击持续升级

    6月24日消息,近日,网宿科技正式发布《2019年中国互联网安全报告》(下称《报告》)。《报告》显示,2019年,网宿云安全平台共监测拦截了12178.96亿次攻击。平均每天为全球网站抵御与防护约33.37亿次攻击。《报告》称,随着企业的数字化转型,来自云端的威胁与攻击正持续升级。在影视及传媒资讯、电商零售和政府机构等互联网及近年来加速上云的信息密集型行业,有越来越多的敏感数据、关键业务暴露在互联网中,被黑产

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 本田全球业务遭勒索软件攻击 部分产线被迫暂停运营

    日本汽车企业本田(Honda)证实,一起网络攻击事件导致其全球部分业务陷入停顿状态。该公司周二在一份简短声明中说,攻击造成了其日本总部以外的生产问题。本田强调:“我们正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。”

  • 40国领导人警示:针对医疗系统的网络攻击,正加剧新冠的破坏力!

    北京时间 27 号凌晨, 40 多位前任及现任领导人携手在瑞士日内瓦发出了一份关于全球疫情的公开信,内容是“呼吁各国共同预防和阻止针对医疗系统的网络攻击”。用红十字国际委员会主席、呼吁签署人彼得·毛雷尔的话来说:“我们身处现代史上最为严峻的卫生危机之中。针对本就脆弱的医疗系统的网络攻击,正在危及全人类”。疫情,“带火”网络攻击早在 4 月初,国际刑警组织就专门发布了一份紫色通告(用以搜集或提供关于犯罪分子的?

  • HTC新机发布会官宣:6月16日见

    近日,HTC在官网挂出了一张全新海报,预告将于6月16日举行“1+1无限可能”发布会!海报上有一款手机若隐若现,如无意外,这次发布会应该就是HTC全新手机发布会。至于这款新机是谁

  • 主播临界爆料女友与LPL选手knight约会,事件完整经过介绍

    6月22日凌晨,微博认证为斗鱼直播平台签约主播“修仙者临界”在微博上表示LPL某选手和自己的女友约会,而这位LPL选手被指是TES战队的中单Knight,这引起了很多网友的关注,以下是这件事情的部分事件经过。

  • HTC U20 5G、Desire 20 Pro正式发布

    DoNews 6月16日消息(记者 刘文轩)许久未公布新机的HTC今天正式发布第一款5G手机HTC U20 5G,一同发布的还有4G中端手机Desire 20 Pro。HTC U20 5G搭载高通骁龙765G,支持原生双模5G连接,配备6.8英寸屏幕,5000mAh容量电池,售价只要18990元新台币(约4130元人民币),成为目前台湾市场最便宜的5G新机。HTC U20 5G背部搭载4颗镜头,分别是4800万像素/f1.8光圈标准镜头、800万像素/118度超广角镜头、超微距20mm镜头、200万像素景深

    HTC
  • 群晖DSM内嵌花生壳PHTunnel,无需公网IP快速实现NAS外网访问!

    随着互联网人口红利的消失,企业在创新求变的浪潮下不断寻求新的出路,资源整合、优势互补,才能不断为产品赋能,助推服务升级,保持强劲的发展动力。作为国产老牌内网穿透服务商,花生壳经过十几年技术沉淀,已经为千万级用户提供了成熟、稳定、专业的内网穿透服务,如今,通过开放内网穿透核心组件花生壳PHTunnel SDK,在为更多用户提供免费服务的同时,花生壳也为厂商提供了更好的增值服务。目前,已经有TP-LINK、中兴、360、小

  • 蚂蚁集团、360金融等登上CB Insights中国Fintech榜单

    【TechWeb】6月29日消息,CB Insights中国于上海举办的“Future of Fintech China”峰会上揭晓首届CB Insights中国Fintech榜单,其中360金融与蚂蚁集团、腾讯金融科技、京东数科等50家公司登录2020年中国Fintech榜单。据了解,CB Insights成立于2008年,为全球知名的市场数据研究平台,为私募股权和风险投资机构、媒体、跨国以及创业公司创建了技术市场情报平台,备受商业人士青睐。CB Insights自2017 年开始打造全球金融科技榜单

  • 智能网关内嵌花生壳PHTunnel,无公网IP实现数据远程采集与传输!

    随着花生壳PHTunnel的免费开放,越来越多的物联网智能设备内嵌了花生壳内网穿透,为没有公网IP的用户,带去了方便、高效、稳定的内网穿透服务,实现了各类基于域名的互联网应用服务的外网访问。北京微控工业网关技术有限公司旗下的智能网关产品,广泛应用于光伏电站、智能医院、智能家居、石油化工、智能交通、风力发电、污水处理等领域,通过集成花生壳PHTunnel实现了设备的远程升级维护、数据远程采集与传输、远程监测与控制、远

  • CB Insights发布中国边缘计算27强企业,Zenlayer边缘云上榜!

    摘要:CB Insights首次发布中国云边协同榜单,边缘计算2. 0 时代来临。近日,全球知名的市场数据研究平台CB Insights联合DeepTech,首次发布“中国边缘计算推动力”榜单。Zenlayer(层峰网络)凭借优秀的研发能力和强大的全球网络资源实力上榜,与华为、阿里、腾讯、百度、联想、中兴等巨头并列,共同入选中国边缘计算企业 27 强。CB Insights 数据显示,截至 2019 年年底,美国上市企业财报会议中提到“边缘计算”的次数,首次超过?

  • 助力合作伙伴,HTC VIVE 2020行业生态大会带来企业新动力!

    2020年6月16日,全球沉浸式科技创新领袖HTCVIVE举办了以“共聚后常态,憧憬新未来”为主题的2020行业生态大会。众多HTCVIVE的合作伙伴参与了此次盛会,现场数百名观众与业内大咖们共聚一堂,畅谈后疫情时代下VR行业应用领域面临的新机遇与新挑战。这是今年年后VR行业首场重量级线下会议,主办方HTCVIVE以及承办方VRCORE都期望在这样一个特殊的时期,通过这场大会提振行业信心,助力合作伙伴摆脱疫情带来的影响,快速重回正常的发展

  • 诺基亚9 PureView成绝唱!相机公司Light退出手机市场

    6月12日消息,据Android Authority报道,相机公司Light退出手机市场。Light向Android Authority证实,未来在任何智能手机上都不会看到他们的相机技术。有趣的是,Light网站首页在2019年7月31日

  • HTC将在6月16日举办发布会 Desire 20 Pro有望亮相

    DoNews 6月9日消息(记者 刘文轩)此前有报道称,HTC可能会在7月推出旗下首款5G手机,并且会在6月推出Desire 20 Pro。据ePrice报道,HTC已经向台湾媒体发出邀请函,宣布将在6月16日举办“1+1 无限可能记者会”。邀请函中的图片已经被放在HTC官方论坛首页,从图中可以看出,HTC似乎打算推出两款手机,所谓的“1+1”很可能就是指一款5G手机和Desire 20 Pro。从海报中的手机轮廓可以看出,位于前方的手机正面左上角有一个摄像头打孔,

  • 传新iPad Air将采用USB-C接口 iPad mini保留Lightning接口

    据外媒报道,根据中国供应链传出来的消息显示,苹果据传的第四代iPad Air将采用USB-C接口,据悉,该技术首次出现在苹果平板中则是在 2018 年。新平板预计会在今年下半年推出。Mac Otakara周二援引知情人士消息称,苹果传闻中的10. 8 英寸“iPad Air”将会成为继 2018 年iPad Pro发布后的第二款配备USB-C接口的iPad。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议