SSL認證(https)
https產生原因:
超文本傳輸協議HTTP協議被用於在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此HTTP協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。爲了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS。
什麼是https:
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本傳輸安全協議),是以安全爲目標的HTTP通道。HTTPS並不是一個新協議,而是HTTP+SSL(TLS:transport layer security安全傳輸套接層)。原本HTTP先和TCP(假定傳輸層是TCP協議)直接通信,而加了SSL後,就變成HTTP先和SSL通信,再由SSL和TCP通信,相當於SSL被嵌在了HTTP和TCP之間。
SSL:
Secure Socket Layer,爲Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網絡上之傳輸過程中不會被截取及竊聽。一般通用之規格爲40 bit之安全標準,美國則已推出128 bit之更高安全標準,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。
當前版本爲3.0。它已被廣泛地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間,爲數據通訊提供安全支持。SSL協議可分爲兩層: SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,爲高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
ssl提供服務
1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
共享密鑰加密(對稱密鑰加密):加密和解密同用一個密鑰。加密時就必須將密鑰傳送給對方,那麼如何安全的傳輸呢?
公開密鑰加密(非對稱密鑰加密):公開密鑰加密使用一對非對稱的密鑰。一把叫做私有密鑰,一把叫做公開密鑰。私有密鑰不能讓其他任何人知道,而公開密鑰則可以隨意發佈,任何人都可以獲得。使用此加密方式,發送密文的一方使用公開密鑰進行加密處理,對方收到被加密的信息後,再使用自己的私有密鑰進行解密。利用這種方式,不需要發送用來解密的私有密鑰,也不必擔心密鑰被攻擊者竊聽盜走
但由於對稱密鑰比非對稱密鑰要快,所以我們就需要綜合一下他們兩者的優缺點,使他們共同使用,而這也是HTTPS採用的加密方式。在交換密鑰階段使用公開密鑰加密方式,之後建立通信交換報文階段則使用共享密鑰加密方式。
公鑰(公共擁有)----加密
私鑰(私有的)------解密
這裏就有一個問題,如何證明非對稱密鑰本身是貨真價實的公開密鑰。如,正準備和某臺服務器建立公開密鑰加密方式下的通信時,如何證明收到的公開密鑰就是原本預想的那臺服務器發行的公開密鑰。或許在公開密鑰傳輸過程中,真正的公開密鑰已經被攻擊者替換掉了。這個時候就需要第三方公證單位來幫忙啦。
CA就是一個公認的公證單位,你可以自行產生一把密鑰且製作出必要的證書數據並向CA單位註冊,那麼當客戶端的瀏覽器在瀏覽時,該瀏覽器會主動向CA單位確認該證書是否爲合法註冊過,如果是,那麼該次連接纔會建立,如果不是,瀏覽器會發出警告信息,告知用戶應避免建立連接。所以說,如此一來WWW服務器不但有公證單位的證書,用戶在建立連接時也比較有保障。
證書發放過程:
一、認證服務器的公開密鑰的是真實有效的數字證書認證機構。
二、服務器的公開密鑰是值得信賴的。
此處認證機關的公開密鑰必須安全地轉交給客戶端。使用通信方式時,如何安全轉交是一件很困難的事,因此,多數瀏覽器開發商發佈版本時,會事先在內部植入常用認證機關的公開密鑰。
- 服務器把自己的公開密鑰登錄至數字證書認證機構。
- 數字證書認證機構用自己的私有密鑰向服務器的公開密鑰署數字簽名並頒發公鑰證書。
- 客戶端拿到服務器的公鑰證書後,使用數字簽名認證機構的公開密鑰,向數字證書認證機構驗證公鑰證書上的數字簽名,以確認服務器的公開密鑰的真實性。
- 使用服務器的公開密鑰對報文加密後發送。
- 服務器用私有密鑰對報文解密。
HTTPS的安全通信機制:
