引言

最近上海连续下了一周雨,温度一夜之间回到解放前,穿夏装的我被冻得瑟瑟发抖,躲在家里哪也不想去。

在家百无聊赖的刷着网页,看到公众号后台的留言,有同学问我 HTTP 和 HTTPS 有啥区别?

这还用问,当然是 HTTPS 要比 HTTP 更加的安全啊,没看到后面带着个 S 呢么,带着 S 就这么 NB 。

然后同学的下一个问题把我问懵逼了,为啥带 S 的更安全呢?能详细的讲讲么。

我跟你讲嗷,不是我吹,我这么多年。。。。。。

就没见过你这么刨根究底的同学,老问这种我也不是很清楚的问题。

虽然这个问题问的我老脸一红,但是我有一种不要脸的精神 「我不会,但是我可以学」 。

HTTP

首先先来了解下 HTTP :

HTTP 协议全称为:Hyper Text Transfer Protocol ,翻译过来就是超文本传输协议,请不要质疑这个翻译,我专门用百度翻译翻了一下。

TCP/IP 四层模型应该都知道的,有数据链路层,网络层,传输层和应用层:

而 HTTP 协议就是位于 TCP/IP 四层模型的应用层上。

这里很多人都会混淆 TCP 和 HTTP ,实际上 HTTP 是基于 TCP 连接基础上的。

简单的说, TCP 就是单纯建立连接,不涉及任何我们需要请求的实际数据,简单的传输。而 HTTP 是用来收发数据,即实际应用上来的。

HTTP 协议通过请求和响应在客户端和服务端之间收发数据,进行通信:

HTTPS

HTTP 协议看起来好像没啥问题,唯一的问题就是不够安全,因为 HTTP 协议的传输方式完全是由明文传输的,不做任何加密,这就让一些不怀好意的人有了可乘之机。

这种传输方式诱发了一种经典的攻击方式:中间人攻击。

对于这种情况,最简单的我们可以使用加密方案,比如使用 AES 加密,服务端和客户端先约定一个随机生成的密钥 key ,后续的通信中,所有的信息都使用这个密钥进行 AES 加密:

这样虽然后面的通信过程安全了,但是我们在第一发送 AES 密钥的时候还是存在被中间人拦截的风险,一旦中间人拦截到我们的密钥,可用对密钥进行更换或者直接解密请求内容:

这时我们可以使用不对称加密,来专门对密钥的传输做一次额外的保护。

不对称加密会有两个密钥,一个是公钥,一个是私钥。明文可以使用公钥加密私钥解密,也可以使用私钥加密公钥解密。

现在比较通用的非对称加密算法有 RSA 。

看到这里的同学一定在奇怪,既然都使用了不对称加密,为啥只对 AES 的密钥做不对称加密,好像有多此一举,完全可以对后续所有的通信信息全都使用不对称加密。

因为不对称加密相比较对称加密性能上存在明显的劣势,可能你觉得在一个请求中多消耗几 ms 或者几 ns 无所谓,但是请求到达服务端是要进行解密,每个请求都多消耗几 ms 累计起来还是非常可观的。

上面这个方案看起来已经很安全了,中间人即使拦截到我们的公钥,由于不知道我们的私钥貌似也没办法解密。

实际上中间人完全不需要解密我们的信息,他可以生成一对新的公私钥发送给客户端进行攻击,后续客户端的通信中间人使用自己创造的私钥进行解密,然后通过服务端生成的公钥进行加密返回给服务端:

CA 证书

上面的问题我们仅通过客户端和服务端已经没办法了,这时候需要引入新的第三方机构,一个颁发 CA 证书的机构。

常见的第三方 CA 机构有:Symantec(赛门铁克),Comodo(科莫多),GeoTrust(环度网信),GoDaddy,Thawte,daoRapidSSL 等等。

在中间人攻击中,我们遇到的问题不是加密算法不够神奇,不是密钥方式不够严谨,而是我们没有办法向我们的客户端表明我们给他的公钥是我们的,是不是很像我没办法证明我是我的问题。

所以第三方机构应运而生,第三方机构只做一件事情,将服务端的公钥刻上了我们的名字(CA 证书),客户端接收到公钥之后,只需要来第三方机构这里查询,就能知道这个公钥是不是真的服务器,然后再将自己生成的 AES 密钥使用 CA 证书中解密得到的公钥进行加密后发送给服务端。

最后服务端使用私钥解密得到 AES 密钥,就可以愉快的和客户端进行通信了。

最后的最后,CA 机构验证不是每次都要去 CA 机构查询。这样做太傻了而且太耗时,尤其是很多 CA 机构的服务都在海外,这样一来一去消耗的时间太多了。

CA 机构高明的地方就在于,我们去找它注册公钥,它会使用另一个来注册的公司的私钥对我们的公钥加密,得到一个我们的公钥的指纹(全球唯一),然后将这家公司的公钥信息(其实也是证书)和我们的公钥以及我们公钥的指纹打包成一个证书。

当我们使用 HTTPS 将证书下发给客户端校验时,客户端(比如浏览器)从证书中看到了上级证书的信息,恰巧这个证书就在浏览器(或者本机)中,已经被验证过是合法的,浏览器只要使用这个证书中的公钥将我们的公钥指纹进行解密,然后比对我们的公钥信息就知道我们也是的合法的。因为假证书中的公钥签名不可能被合法的上级证书中公钥解密 。

这段稍微有点绕,慢慢看多看几次就理解了。

参考

https://www.jianshu.com/p/691b8ba3a70f

https://blog.csdn.net/u010144805/article/details/80803059

https://blog.csdn.net/caofengtao1314/article/details/87912078

我终于搞清了啥是 HTTPS 了的更多相关文章

  1. 在这个插件帮助下,终于用上免费的Https协议外链的图床了

    前天,强哥发了一篇推文,讲述了应该如何免费且快速的生成自己的博客网站: 期间也有提到一点就是我们在写博客的时候,因为使用的是Markdown格式的文件,而如果想要​Markdown格式的文件在图片上传 ...

  2. yield和send的执行循序彻底搞清

    yield: 对于yield方法和Generator的send同时使用时的执行顺序一直搞不清,今天看到这篇 理解PHP中的Generator 加上测试,终于搞清了. 总结一下上文中的结论: Gener ...

  3. Win7 +Cuda9.0+cudnn7.0.5 tensorflow-gpu1.5.0 安装实战

    https://blog.csdn.net/gangeqian2/article/details/79358543 https://blog.csdn.net/tomato_sir/article/d ...

  4. 如何利用dokcer提交我的比赛代码

    运气很好进入了天池的一个复赛,但是复赛评测时需要提交docker镜像,捣鼓了一个晚上,终于搞清了整套的流程.由于晚上已经下定决心要早点睡觉,害怕明早就会忘记的我还是先把步骤记录下来. 1. 安装doc ...

  5. Repeater的分页

      Repeater控件是个好东西.轻量级.又好用.完全的自定义.但是,正是因为这些优点它没有自动分页的功能.这个需要研究一下.我看了一下起点等小说网站,那些什么推荐排名榜用Repeater控件那是很 ...

  6. [stm32] STM32 Interrupts and events 系统了解(EXTI)及槽型光电开关tp850电路研究

    中断和事件 1 嵌套向量中断控制器 特性: ● 68个可屏蔽中断通道(不包含16个Cortex™-M3的中断线):● 16个可编程的优先等级(使用了4位中断优先级):● 低延迟的异常和中断处理:● 电 ...

  7. hhvm的正确安装姿势 http://dl.hhvm.com 镜像

    hhvm是php的第三方运行环境,由facebook出品,基于该运行环境,它还提供了一种编程语言hack - PHP的静态类型版. 折腾了一天后,包括各种编译.配置.FQ,后面终于忍不住搜了一下 ht ...

  8. 将C语课设传到了Github和Code上 2015-91-18

    一直听说Git好使,以前捣鼓过没弄成,现在考完试了终于可以静下心来研究研究. 哎,我要是当时做课设的时候就用Git,也能省下不少事呢. 使用的Git教程,刚看个开头: 廖雪峰的Git教程 http:/ ...

  9. file_get_contents无法获取数据的一种情况

    下面这段php代码突然不好使了,返回的 $html 为空,百思不得解.网上说法好多,但都是一家之言,解决不了我的问题.(我的解决方法也是一家之言,只能解决file_get_contents获取不到数据 ...

随机推荐

  1. C#MVC通过AJAX调用API方法进行上传下载

    //这是写的一个类,具体是上传图片的上传和下载 public class FileResult    {        public int Code { get; set; }        pub ...

  2. js--bom对象

    bom:browser object model **navigator:获取浏览器的信息 **screen:获取屏幕的相关信息 **location:请求的url地址 **获取请求的url地址:lo ...

  3. 黑马程序员_毕向东_Java基础视频教程——位运算练习(随笔)

    位运算(练习) 最有效率的方式算出 2乘以 8等于几 2 << 3 = 2 * 2^3 = 2 * 8 = 16 对于两个整数变量的值进行互换(不需要第三方变量) class Test { ...

  4. node的querystring

    querystring.stringify({name:''scott",course:['jade','java'],from=''}); => 'name=scott&co ...

  5. python3.x 基础一:str字符串方法

    *字符串不能更改值 数据类型字符串str |  capitalize(...)   返回字符串中第一个字母大写 |      S.capitalize() -> str |       |    ...

  6. 为什么我不建议你通过 Python 去找工作?

    二哥,你好,我是一名大专生,学校把 Python 做为主语言教给我们,但是我也去了解过,其实 Python 门槛挺高的,所以我在自学 Java,但是我现在并不清楚到底要不要全心的去学 Java,学校里 ...

  7. block和delegate的选择

    block和delegate均为常用回调方式 (暂不讨论通知)   代理 优点: 设置某个对象的代理,代理对象可以与被代理对象不直接相关,即使两个对象距离较远,传值也比较方便. 代理方法内可以方便调用 ...

  8. poj2455 k条路最小化最长边

    Secret Milking Machine Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 12414   Accepted ...

  9. Hibernate实现limit查询报错 :unexpected token: limit near line 1, column 33 [from pojo.Product p order by id limit ?,? ]

    原因: hibernate无法识别limit,  hql语句更不能这样写String hql="from Product p order by id limit ?,? "; 解决 ...

  10. JAVA设计模式之原型模式(prototype)

    原型模式: 原型模式又叫克隆模式 Java自带克隆模式 实现克隆模式必须实现Cloneable 接口,如果不实现会发生java.lang.CloneNotSupportedException异常 当某 ...