2023.9.25 关于简单了解 HTTPS

目录

 ​​​HTTPS 协议 

SSL / TSL 加密过程 

---

 ​HTTPS 协议 

• 指 HTTP + 安全层 （SSL / TLS）
• 在网络上传输 明文 数据是十分危险的，从而我们需要进行 加密 来保证安全！

基本概念：

• 明文：A 给 B 发送原始消息，无加密操作
• 密文：A 给 B 发送 在原始消息的基础上进行加密后 所得到的消息
• 加密操作：将 明文 转化成 密文
• 解密操作：将 密文 转化为 明文
• 密钥：加密 和 解密 操作的关键所在
• 对称加密：

• 非对称加密:

• 这里的 私钥 和 公钥 是 服务器生成 的非对称密钥
• 服务器可通过发送的公钥给客户端，让客户端进行加密信息
• 自己留下的私钥进行解密客户端发来的信息
• 当然服务器会生成 多对 非对称密钥 用来发送给不同的客户端
• 通过 公钥 计算得出 私钥 的计算量是十分大的，当今计算机难以计算出来，所以可以认为是相对安全的！

SSL / TSL 加密过程 

情况一

• 此时客户端生成 密钥A 发送给服务器，但直接被黑客所截获，所以下面的密文请求和响应对已截获密钥的黑客来说，这就是在明文传输，毫无安全性可言

---

情况二

• 注意理解上图，先是客户端从服务器获取服务器生成的 私钥A 和 公钥A ，客户端通过 公钥A 加密自己的 对称密钥B，然后发送给服务器，服务器能直接用 私钥A，将客户端发送 对称密钥B 给解析出来，然后客户但和服务器再统一使用 对称密钥B 来进行信息的传输
• 此时我们的黑客虽然能获取到服务器传给客户端的 公钥A ，但是无法解密到使用 公钥A传输的 对称密钥B，从而客户端和服务器之间的传输相对于仅使用 对称密钥 进行传输要相对安全些
• 注意如果我们全程使用非对称密钥进行传输，这个效率是十分低的，而采用非对称密钥加对称密钥传输，因为对称密钥的的效率是比非对称密钥要高的，所以我们仅需使用一次非对称密钥来安全的获取到对称密钥，之后都用对称密钥来传输，这个整体的效率就可以有效的提高了！
• 使用 非对称密钥＋对称密钥 的方式，黑客仍有破解的方法！

---

情况三

• 注意理解上图，黑客将 服务器发送的 公钥A 进行替换为他生成的 公钥B，此时客户端就会使用 公钥B 来将 对称密钥K 进行加密传输给服务器，此时黑客再使用 私钥B 将客户端传输的 对称密钥K 进行解密，获取到 对称密钥K ，再使用服务器的 公钥A 将 对称密钥K 进行加密传输给服务器，此时服务器再使用 私钥A 进行解密，获取到客户端传输的 对称密钥K，此时服务器和客户端之间再使用 对称密钥K 进行加密传输信息，我们的黑客也通过上述操作获取到了 对称密钥K，从而能够轻易解析出客户端和服务器之间的信息传输，所以很不安全！
• 当然我们还有方法解决该情况的发生！

---

情况四

• 解决情况三的关键在于能让客户端分辨出密钥是否是由客户端发送的，而不是一个被替换的假密钥，因此我们引入一个概念
• 证书：本质是第三方的公正机构
• 服务器设立之初，会需要去专门的认证机构申请证书，审核通过则该机构便会对其颁发证书，从而服务器所生成的公钥便会包含在该证书中，此时客户端对服务器请求公钥时，会将整个证书都请求过来，客户端拿到证书后会对其进行校验，辨别该证书是否被篡改抑或是假证书，如果发现证书无效，浏览器便会弹窗警告，访问该网站会存在风险！

黑客方案一：

• 继续使用情况三的方案，用自己生成公钥和私钥，将服务器生成的给替换掉
• 此时当客户端拿着认证机构给的 公钥R 对证书进行校验时，会发现 hash2 与 签字解密出来的 hash1 的值不相等，此时便会知道该证书无效，从而浏览器弹窗警告

黑客方案二：

• 黑客根据自己所替换的公钥和私钥来计算得到一个新 hash2，但是要想骗过 客户端，需要同时重新伪造一个新的签名，该签名基于 hash2 加密而来，使得该签名让客户端使用认证机构提供的 公钥R 计算出来的 hash1 与自己替换所得新 hash2 要相等，但是这显然是不可能的！
• 要生成签名需要用到与 公钥R 所对应的 私钥R，但是 私钥R 是保存在认证机构中的，黑客显然是无法拿到 私钥R 的，所以无法生成与替换所得 hash2 对应的签名！

总结：

• 通过情况四便能大大提高我们传输的安全性！