域名預訂/競價，好“米”不錯過

HTTPS 的底層原理如何實現?

為什么需要 CA 認證機構頒發(fā)證書?

瀏覽器是如何確保 CA 證書的合法性?

大家都知道 HTTPS 比 HTTP 安全，也聽說過與 HTTPS 協議相關的概念有 SSL 、非對稱加密、 CA證書等，但是以上的靈魂三拷問你答的上來嗎?怕是回答很大可能是NO!

今日天威誠信就帶你層層深入，從原理上為你把 HTTPS 的安全性講透。

HTTPS 的底層原理如何實現?

大家可能都聽說過 HTTPS 協議之所以是安全的是因為 HTTPS 協議會對傳輸的數據進行加密，而加密過程是使用了非對稱加密來實現。但其實，HTTPS 在內容傳輸的加密上使用的是對稱加密，非對稱加密只作用在證書驗證階段。

HTTPS的整體過程分為證書驗證和數據傳輸階段，具體的交互過程如下：

① 證書驗證階段

瀏覽器發(fā)起 HTTPS 請求

服務端返回 HTTPS 證書

客戶端驗證證書是否合法，如果不合法則提示警告

② 數據傳輸階段

1.當證書驗證合法后，在本地生成隨機數

2.通過公鑰加密隨機數，并把加密后的隨機數傳輸到服務端

3.服務端通過私鑰對隨機數進行解密

4.服務端通過客戶端傳入的隨機數構造對稱加密算法，對返回結果內容進行加密后傳輸

為什么需要 CA 認證機構頒發(fā)證書?

HTTP 協議被認為不安全是因為傳輸過程容易被監(jiān)聽者勾線監(jiān)聽、偽造服務器，而 HTTPS 協議主要解決的便是網絡傳輸的安全性問題。

首先我們假設不存在認證機構，任何人都可以制作證書，這帶來的安全風險便是經典的“中間人攻擊”問題。

“中間人攻擊”的具體過程如下：

過程原理：

1. 本地請求被劫持(如DNS劫持等)，所有請求均發(fā)送到中間人的服務器

2.中間人服務器返回中間人自己的證書

3.客戶端創(chuàng)建隨機數，通過中間人證書的公鑰對隨機數加密后傳送給中間人，然后憑隨機數構造對稱加密對傳輸內容進行加密傳輸

4.中間人因為擁有客戶端的隨機數，可以通過對稱加密算法進行內容解密

5.中間人以客戶端的請求內容再向正規(guī)網站發(fā)起請求

6.因為中間人與服務器的通信過程是合法的，正規(guī)網站通過建立的安全通道返回加密后的數據

7.中間人憑借與正規(guī)網站建立的對稱加密算法對內容進行解密

8.中間人通過與客戶端建立的對稱加密算法對正規(guī)內容返回的數據進行加密傳輸

9.客戶端通過與中間人建立的對稱加密算法對返回結果數據進行解密

由于缺少對證書的驗證，所以客戶端雖然發(fā)起的是 HTTPS 請求，但客戶端完全不知道自己的網絡已被攔截，傳輸內容被中間人全部竊取。

瀏覽器是如何確保 CA 證書的合法性?

1、證書包含什么信息?

頒發(fā)機構信息

公鑰

公司信息

域名

有效期

指紋

2、證書的合法性依據是什么?

首先，權威機構是要有認證的，不是隨便一個機構都有資格頒發(fā)證書，不然也不叫做權威機構。另外，證書的可信性基于信任制，權威機構需要對其頒發(fā)的證書進行信用背書，只要是權威機構生成的證書，我們就認為是合法的。所以權威機構會對申請者的信息進行審核，不同等級的權威機構對審核的要求也不一樣，于是證書也分為免費的、便宜的和貴的。

3、瀏覽器如何驗證證書的合法性?

瀏覽器發(fā)起 HTTPS 請求時，服務器會返回網站的 SSL 證書，瀏覽器需要對證書做以下驗證：

1. 驗證域名、有效期等信息是否正確。證書上都有包含這些信息，比較容易完成驗證;

2.判斷證書來源是否合法。每份簽發(fā)證書都可以根據驗證鏈查找到對應的根證書，操作系統、瀏覽器會在本地存儲權威機構的根證書，利用本地根證書可以對對應機構簽發(fā)證書完成來源驗證;

3.判斷證書是否被篡改。需要與 CA 服務器進行校驗;

4.判斷證書是否已吊銷。通過CRL(Certificate Revocation List 證書注銷列表)和 OCSP(Online Certificate Status Protocol 在線證書狀態(tài)協議)實現，其中 OCSP 可用于第3步中以減少與 CA 服務器的交互，提高驗證效率

以上任意一步都滿足的情況下瀏覽器才認為證書是合法的。

基于以上內容，天威誠信為你劃重點：

Q: HTTPS 為什么安全?

A: 因為 HTTPS 保證了傳輸安全，防止傳輸過程被監(jiān)聽、防止數據被竊取，可以確認網站的真實性。

Q: HTTPS 的傳輸過程是怎樣的?

A: 客戶端發(fā)起 HTTPS 請求，服務端返回證書，客戶端對證書進行驗證，驗證通過后本地生成用于改造對稱加密算法的隨機數，通過證書中的公鑰對隨機數進行加密傳輸到服務端，服務端接收后通過私鑰解密得到隨機數，之后的數據交互通過對稱加密算法進行加解密。

Q: 為什么需要證書?

A: 防止”中間人“攻擊，同時可以為網站提供身份證明。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！