freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

小白学安全之HTTPS
2018-05-17 17:54:54

也许一个时代即将来临

2018年7月,Google即将发布新版本Chrome68,在这个版本中,Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页(如12306)时,会收到浏览器的不安全提示。

1.png

以Chrome的近60%的个人电脑市场占有率,这几乎会引领一个时代,会强迫更多的公司将网站从HTTP转换为HTTPS。设想一下,两个竞争公司的官网,一个提示安全一个提示不安全,带来的将是毁灭性的打击。

为什么HTTPS是安全的

简单来讲HTTPS就是HTTP+SSL(或TLS),通加入SSL至少可以解决以下安全问题:

1.  通信数据明文传输问题;

简单讲一下对称加密与非对称加密:简而言之,对称加密就是加密与解密使用了相同的密钥,非对称加密的加密与解密使用了不同密钥。

再简单讲一下SSL:SSL全程为安全套接层(SecureSockets Layer),使用非对称加密算法 RSA、ECC等。理论上非对称加密算法可破解,但以目前的计算能力破解2048位的RSA可能要80年(也许以后量子计算可以秒了RSA),所以目前来说,SSL依然时安全的。

由于使用了HTTPS协议的网站与客户端之间的数据都是经过SSL加密的,所以解决了通信过程中的机密性与完整性的问题。

2.png

2.  信任问题。

使用了HTTPS的网站具有可以公开的公钥,这个公钥相当于我们的身份证,网站将公钥去第三方权威机构(CA,CertificationAuthority)进行认证,这个CA相当于我们的公安局。同样由于非对称加密算法如RSA的原因,想破解出这个公钥对应的私钥是相当困难的,我们信任权威机构CA,就信任了CA给与网站的身份证明。

总而言之,CA可以证明你是你自己,360是360。

3.jpg

HTTPS是怎么工作的

非对称加密算法是相对安全的,但却也耗费很多系统资源。相比之下,对称加密使用系统资源较少,适合于大量数据或批量数据的加密。

为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,可以看下图了解工作过程。

HTTPS工作过程有以下几个步骤:

1.  浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型;

2.  服务器接到请求,确定加密算法;

3.  服务器将数字证书反馈之浏览器;

4.  浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;

5.  浏览器将密文发送至服务器;

6.  服务器使用私钥进行解密得到会话密钥R;

7.  服务器使用会话密钥R将网页内容反馈之浏览器;

8.  浏览器使用会话密钥R解密,获得网页内容。

总结

至此,HTTPS的介绍就讲的差不多了,目前全世界人民愈加重视安全,相信到2018年7月后,Google将会引领一波潮流,将HTTP拍死在沙滩上。

# HTTTPS
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者