360网络安全学院 | 小白学安全之HTTPS

2018-05-17  本文已影响0人  360网络安全大学

也许一个时代即将来临

2018年7月,Google即将发布新版本Chrome 68,在这个版本中,Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页(如12306)时,会收到浏览器的不安全提示。

以Chrome的近60%的个人电脑市场占有率,这几乎会引领一个时代,会强迫更多的公司将网站从HTTP转换为HTTPS。设想一下,两个竞争公司的官网,一个提示安全一个提示不安全,带来的将是毁灭性的打击。

为什么HTTPS是安全的?

简单来讲HTTPS就是HTTP+SSL(或TLS),通加入SSL至少可以解决以下安全问题:

1.通信数据明文传输问题

简单讲一下对称加密与非对称加密:简而言之,对称加密就是加密与解密使用了相同的密钥,非对称加密的加密与解密使用了不同密钥。

再简单讲一下SSL:SSL全程为安全套接层(Secure Sockets Layer),使用非对称加密算法 RSA、ECC等。理论上非对称加密算法可破解,但以目前的计算能力破解2048位的RSA可能要80年(也许以后量子计算可以秒了RSA),所以目前来说,SSL依然时安全的。

由于使用了HTTPS协议的网站与客户端之间的数据都是经过SSL加密的,所以解决了通信过程中的机密性与完整性的问题。

2.信任问题

使用了HTTPS的网站具有可以公开的公钥,这个公钥相当于我们的身份证,网站将公钥去第三方权威机构(CA,Certification Authority)进行认证,这个CA相当于我们的公安局。同样由于非对称加密算法如RSA的原因,想破解出这个公钥对应的私钥是相当困难的,我们信任权威机构CA,就信任了CA给与网站的身份证明。

总而言之,CA可以证明你是你自己,360是360。

HTTPS是怎么工作的?

非对称加密算法是相对安全的,但却也耗费很多系统资源。相比之下,对称加密使用系统资源较少,适合于大量数据或批量数据的加密。

为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,可以看下图了解工作过程。

HTTPS工作过程有以下几个步骤:

1.浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型;

2.服务器接到请求,确定加密算法;

3.服务器将数字证书反馈之浏览器;

4.浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;

5.浏览器将密文发送至服务器;

6.服务器使用私钥进行解密得到会话密钥R;

7.服务器使用会话密钥R将网页内容反馈之浏览器;

8.浏览器使用会话密钥R解密,获得网页内容。

总结

至此,HTTPS的介绍就讲的差不多了,目前全世界人民愈加重视安全,相信到2018年7月后,Google将会引领一波潮流,将HTTP拍死在沙滩上。

360网络安全学院

官       网:http://training.360.cn

报名热线:4000-555-360

报名邮箱:sec-training@360.cn

地       址:北京市朝阳区酒仙桥路360大厦


上一篇下一篇

猜你喜欢

热点阅读