1、SSL的认识

2019-04-12  本文已影响0人  御都

一、问题

一句话总结:http协议传输的内容都是明文的,不安全。
应用层最被广泛使用的就是HTTP协议,一个在互联网上查看网页的协议(超文本传输协议)。在浏览器中输入某个网址(URL),获取到某个网站的网页就是使用HTTP协议的过程。在标准的HTTP协议中,客户端所有的请求信息都以明文从客户端发送到服务器端的,服务器端返回的响应信息也是以明文的形式返回给客户端的。而客户端到服务器端之间的路径是公共网络,这就存在安全隐患了。
如果你访问的是一个有敏感信息交互的网站,黑客就可以接入到公共网络对你和网站服务器之间的通信进行监听,窃取到你的敏感信息,比如姓名,地址,电话号码,银行卡号等。

解决思路

一句话总结:将HTTP协议和其他安全协议进行组装,实现对传输数据加密的效果。
HTTPS(安全超文本传输协议):在HTTP的基础上对传输的数据进行加密,确保客户端和服务器端通过公共网络传输的敏感数据是安全哒。
使用HTTPS协议时,地址栏网址的协议字段会变为https,还会有一个小锁的图标。


image.png

实现

通过SSL或者TLS协议来保护数据
过程如下:


image.png

1 客户端的浏览器请服务器提供安全证书,确认服务器是安全可信的。
2 服务器向客户端发送SSL证书的副本,SSL证书是一种小型的数字证书。
3 客户端检查安全证书,如果检查可靠,告知服务检查OK
4 服务器接收到3后,发送一个确认做为响应。
TLS是SSL的继承者,同样要进行身份验证和数据加密。

二扩展

1 为什么访问任何一个主要的网站都是https
很多网站的访问都不涉及敏感信息,比如看电视剧,电影等,按理说不需要使用HTTPS呀。很大程度上是因为谷歌浏览器,它对没有SSL保护的网站会标记为不安全,会降低它的搜索排名。
【遗留】
1、HTTPS是只对敏感数据加密,还是对所有数据加密?对用户输入的所有数据加密,服务器返回的内容加密吗?
2 、加密时为什么要有公共密钥和私有密钥?它们是什么?怎么实现的?
3、加密能理解,那证书是怎么回事?证书和加密是什么关系?证书由谁颁发?

【备注】
视频:https://www.bilibili.com/video/av42766118
文章:https://mp.weixin.qq.com/s?__biz=MjM5NTU0MDg0MA==&mid=2651239188&idx=2&sn=9be7ecc07472303e9138a9909c885b37&chksm=bd04e9138a736005e2f5c69f99a742ab734327f92f37d61823d84dad2c157ea4f56862caa034&mpshare=1&scene=1&srcid=0408rbn33m1f4vBOoZ8l8LNE#

上一篇下一篇

猜你喜欢

热点阅读