互联网并发与安全系列教程(17) - 生产环境配置HTTPS证书

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 互联网并发与安全系列教程(17) - 生产环境配置HTTPS证书

引言

传统Http协议弊端是明文的,如果别人采用抓包分析可以获取到明文数据。

所以出现了HTTPS,那什么是HTTPS?下面来讲解:

1. HTTPS

HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),简单来讲就是加了安全的HTTP,即HTTP+SSL;我们知道HTTP通讯时,如果客户端C请求服务器S,那么可以通过网络抓包的形式来获取信息,甚至可以模拟服务器S端,来骗取与C端的通讯信息;这对互联网应用在安全领域的推广非常不利;HTTPS解决了这个问题。

1.1 什么是SSL协议?

SSL指的是安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别保密

SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,所有主要的浏览器都支持SSL协议。目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。

SSL协议的三个特性:

  • 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
  • 鉴别:可选的客户端认证,和强制的服务器端认证。
  • 完整性:传送的消息包括消息完整性检查(使用MAC)。
1.2 HTTPS与HTTP区别
  1. HTTPS的服务器需要到CA申请证书,以证明自己服务器的用途;
  2. HTTP信息是明文传输,HTTPS信息是密文传输;
  3. HTTP与HTTPS的端口不同,一个是80端口,一个是443端口;

可以说HTTP与HTTPS是完全不同的连接方式,HTTPS集合了加密传输,身份认证,更加的安全。

例如:在微信小程序里面都限制只能有https协议、搜索引擎排名都对https优先收录

1.3 HTTPS的几个加密算法
  1. 握手的时候使用的非对称加密算法 ,用来加密握手之后的请求和应答
  2. 传输信息的时候使用的对称加密,
  3. 保证数据的完整性用的是hash算法(数字签名)

2. HTTPS加密过程

1)客户端请求服务器,发送握手消息

2)服务器返回客户端自己的加密算法、数字证书和公钥;

3)客户端验证服务器端发送来的数字证书是否与本地受信任的证书相关信息一致;如果不一致则客户端浏览器提示证书不安全如下图所示:

如果验证通过,则浏览器会采用自身的随机数算法产生一个随机数,并用服务器发送来的公钥加密;发送给服务器;这里如果有人通过攻击获取了这个消息,那也没用,因为他没有解密此段消息所需要私钥;验证通过的网站在浏览器地址栏的右边会有一安全锁的标识;

3)服务器解密得到此随机数,并用此随机数作为密钥采用对称加密算法加密一段握手消息发送给浏览器;

4)浏览器收到消息后解密成功,则握手结束,后续的信息都通过此随机密钥加密传输。

以上是服务端认证的情况,如果服务端对访问的客户端也有认证需求,则客户端也需要将自己的证书发送给服务器,服务器认证不通过,通讯结束;原理同上;另外,一般在传输过程中为了防止消息窜改,还会采用消息摘要后再加密的方式,以此保证消息传递的正确性。

  1. 客户端发送自己支持的加密规则给服务器,代表告诉服务器要进行连接了。
  2. 服务器从中选出一套加密算法和hash算法以及自己的身份信息(地址等)以证书的形式发送给浏览器,证书中包含服务器信息,加密公钥,证书的颁发机构。
  3. 客户端收到网站的证书之后要做下面的事情
    ---- 3.1. 验证证书的合法性
    -----3.2. 如果验证通过证书,浏览器会生成一串随机数,并用证书中的公钥进行加密
    -----3.3. 用约定好的hash算法计算握手消息,然后用生成的密钥进行加密,然后一起发送给服务器。
  4. 服务器接收到客户端传送来的信息,要求下面的事情
    -----4.1. 用私钥解析出密码,,用密码解析握手消息,验证hash值是否和浏览器发来的一致
    -----4.2. 使用密钥加密消息,回送如果计算法hash值一致,握手成功。
2.1 证书

证书中包含什么信息?

  • 证书信息:过期时间和序列号
  • 所有者信息:姓名等
  • 所有者公钥

为什么要有HTTPS?我们来假设几个场景:

  • A(浏览器)和B(服务器)发送隐私的信息 ( http是明文传输怎么搞?)就算加密了,攻击者C获得了双方加密的密钥,也能获得双方的信息呀 ( 密钥丢失了怎么办呀?)
  • 就算攻击者C没有办法获得密钥,那么C向B(服务器)发送一些数据,那么B也不知道是不是A发送的呀 (A是不是A?)

如果要免费领取HTTPS证书,可以使用腾讯云和阿里云。

目录
相关文章
|
12天前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
|
17天前
|
安全 网络安全 数据安全/隐私保护
政务内网实现https访问教程
政务内网实现HTTPS访问需经过多个步骤:了解HTTPS原理,选择并申请适合的SSL证书,配置SSL证书至服务器,设置端口映射与访问控制,测试验证HTTPS访问功能,注意证书安全性和兼容性,定期备份与恢复。这些措施确保了数据传输的安全性,提升了政务服务的效率与安全性。
|
13天前
|
安全 网络安全 数据安全/隐私保护
内网IP地址实现HTTPS加密访问教程
在内网环境中,为确保数据传输的安全性,绑定SSL证书搭建HTTPS服务器至关重要。本文介绍了内网IP地址的前期准备、申请SSL证书的步骤以及客户端配置方法。具体包括选择合适的CA、注册账号、提交申请、下载证书,并在客户端导入根证书,确保通信数据的安全加密。推荐使用JoySSL提供的技术解决方案,确保内网设备通信安全。
内网IP地址实现HTTPS加密访问教程
|
17天前
|
安全 网络安全 数据安全/隐私保护
政务单位IP地址https证书
政务单位IP地址HTTPS证书是一种专为只有IP地址而无域名的政务网站设计的数字证书,用于加密通信、确保数据安全并提升用户信任度。申请流程包括选择证书颁发机构、提交申请并验证、部署证书等步骤。证书有效期通常为一年或多年,需定期更新以确保安全性。
|
1月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
1月前
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
87 4
|
1月前
|
安全 算法 量子技术
【HTTPS】中间人攻击和证书的验证
【HTTPS】中间人攻击和证书的验证
51 1
|
1月前
|
存储 缓存 安全
https访问提示不安全,证书密钥验证上如何解决
【10月更文挑战第4天】访问提示不安全,证书密钥验证上如何解决
269 2
|
1月前
|
编解码 JSON 安全
使用search-guard加固安全为https访问
使用search-guard加固安全为https访问
|
Web App开发 应用服务中间件 nginx