关于前端:面试官为什么说HTTPS比HTTP安全-HTTPS是如何保证安全的

29次阅读

共计 1983 个字符,预计需要花费 5 分钟才能阅读完成。

面试官:为什么说 HTTPS 比 HTTP 平安? HTTPS 是如何保障平安的?

一、平安个性

在上篇文章中,咱们理解到 HTTP 在通信过程中,存在以下问题:

  • 通信应用明文(不加密),内容可能被窃听
  • 不验证通信方的身份,因而有可能遭逢假装

HTTPS 的呈现正是解决这些问题,HTTPS是建设在 SSL 之上,其安全性由 SSL 来保障

在采纳 SSL 后,HTTP就领有了 HTTPS 的加密、证书和完整性爱护这些性能

SSL(Secure Sockets Layer 安全套接字协定), 及其继任者传输层平安(Transport Layer Security,TLS)是为网络通信提供平安及数据完整性的一种平安协定

二、如何做

SSL 的实现这些性能次要依赖于三种伎俩:

  • 对称加密:采纳协商的密钥对数据加密
  • 非对称加密:实现身份认证和密钥协商
  • 摘要算法:验证信息的完整性
  • 数字签名:身份验证

对称加密

对称加密指的是加密和解密应用的秘钥都是同一个,是对称的。只有保障了密钥的平安,那整个通信过程就能够说具备了机密性

非对称加密

非对称加密,存在两个秘钥,一个叫公钥,一个叫私钥。两个秘钥是不同的,公钥能够公开给任何人应用,私钥则须要窃密

公钥和私钥都能够用来加密解密,但公钥加密后只能用私钥解
密,反过来,私钥加密后也只能用公钥解密

混合加密

HTTPS 通信过程中,采纳的是对称加密 + 非对称加密,也就是混合加密

在对称加密中讲到,如果可能保障了密钥的平安,那整个通信过程就能够说具备了机密性

HTTPS 采纳非对称加密解决秘钥替换的问题

具体做法是发送密文的一方应用对方的公钥进行加密解决“对称的密钥”,而后对方用本人的私钥解密拿到“对称的密钥”

这样能够确保替换的密钥是平安的前提下,应用对称加密形式进行通信

举个例子:

网站机密保存私钥,在网上任意散发公钥,你想要登录网站只有用公钥加密就行了,密文只能由私钥持有者能力解密。而黑客因为没有私钥,所以就无奈破解密文

上述的办法解决了数据加密,在网络传输过程中,数据有可能被篡改,并且黑客能够伪造身份公布公钥,如果你获取到假的公钥,那么混合加密也并无多大用处,你的数据扔被黑客解决

因而,在上述加密的根底上仍需加上完整性、身份验证的个性,来实现真正的平安,实现这一性能则是摘要算法

摘要算法

实现完整性的伎俩次要是摘要算法,也就是常说的散列函数、哈希函数

能够了解成一种非凡的压缩算法,它可能把任意长度的数据“压缩”成固定长度、而且举世无双的“摘要”字符串,就如同是给这段数据生成了一个数字“指纹”

摘要算法保障了“数字摘要”和原文是齐全等价的。所以,咱们只有在原文后附上它的摘要,就可能保证数据的完整性

比方,你发了条音讯:“转账 1000 元”,而后再加上一个 SHA-2 的摘要。网站收到后也计算一下音讯的摘要,把这两份“指纹”做个比照,如果统一,就阐明音讯是残缺可信的,没有被批改

数字签名

数字签名能确定音讯的确是由发送方签名并发进去的,因为他人混充不了发送方的签名

原理其实很简略,就是用私钥加密,公钥解密

签名和公钥一样齐全公开,任何人都能够获取。但这个签名只有用私钥对应的公钥能力解开,拿到摘要后,再比对原文验证完整性,就能够像签订文件一样证实音讯的确是你发的

和音讯自身一样,因为谁都能够公布公钥,咱们还短少避免黑客伪造公钥的伎俩,也就是说,怎么判断这个公钥就是你的公钥

这时候就须要一个第三方,就是证书验证机构

CA 验证机构

数字证书认证机构处于客户端与服务器单方都可信赖的第三方机构的立场

CA 对公钥的签名认证要求包含序列号、用处、颁发者、无效工夫等等,把这些打成一个包再签名,残缺地证实公钥关联的各种信息,造成“数字证书”

流程如下图:

  • 服务器的经营人员向数字证书认证机构提出公开密钥的申请
  • 数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名
  • 而后调配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起
  • 服务器会将这份由数字证书认证机构颁发的数字证书发送给客户端,以进行非对称加密形式通信

接到证书的客户端可应用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,则证实:

  • 认证服务器的公开密钥的是真实有效的数字证书认证机构
  • 服务器的公开密钥是值得信赖的

三、总结

能够看到,HTTPSHTTP 尽管只差一个SSL,然而通信安全失去了大大的保障,通信的四大个性都以解决,解决形式如下:

  • 机密性:混合算法
  • 完整性:摘要算法
  • 身份认证:数字签名
  • 不可否定:数字签名

同时引入第三方证书机构,确保公开秘钥的安全性

参考文献

  • https://zhuanlan.zhihu.com/p/100657391
  • https://juejin.cn/post/6844903830987997197#heading-7
  • https://cloud.tencent.com/developer/article/1748862
正文完
前端
发表至: 前端
2023-08-24
 0
关于前端:面试题JS-获取某月的天数
关于前端:XXE漏洞示例讲解
关于前端:现代JavaScript高级教程深入理解JavaScript中的WeakMap和WeakSet
关于前端:搭建企业知识库知识管理的第一步