HTTPS详解及常见面试题
1.HTTP缺点:
无连接: HTTP/1.1之前每次请求都要通过TCP建立连接断开连接,HTTP/1.1实现了持久连接
无状态: Cookie技术和持久连接解决
明文传输: 不安全
HTTPS:简单讲是HTTP的安全版,在HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
2.HTTPS特点:
内容加密:采用混合加密技术,中间者无法直接查看明文内容
验证身份:通过证书认证客户端访问的是自己的服务器
保护数据完整性:防止传输的内容被中间人冒充或者篡改
加密算法 --- RSA(混合加密机制)
(1)共享密匙加密: 公开密匙加密解密,但是无法保证安全发送密匙
(2)公开密匙加密: 公开密匙加密,私有密匙解密
HTTPS:混合加密机制: 结合对称加密和非对称加密技术
用对称加密生成的密钥对通信数据加密
用非对称加密生成的公钥对密钥加密
这样在保证密钥的安全性下,提高了效率
认证 --- 防止"中间人"攻击,并验证服务器身份
证书: 认证机构(CA)信息,公钥,域名,有效期,指纹(对证书进行hash运算,即证书摘要),指纹算法,数字签名(CA私钥加密的指纹)等
通信过程:
1.客户端发起 HTTPS 请求,服务端返回证书
2.客户端对证书进行验证,验证通过后本地生成用于改造对称加密算法的随机数。
3.通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数,之后的数据交互通过对称加密算法进行加解密。
验证过程:
1. 证书是否过期
2.CA是否可靠(查询信任的本地根证书)
3.证书是否被篡改(用户使用CA根公钥解密签名得到原始指纹,再对证书使用指纹算法得到新指纹,两指纹若不一样,则被篡改)
4.服务器域名和证书上的域名是否匹配
助于理解,在知乎上down的HTTPS通信流程:
常见面试题 :
Q:HTTP与HTTPS区别?
A: 1.HTTPS需要申请购买CA证书, HTTP不需要
2.HTTP是明文传输,不安全, HTTPS是在HTTP基础上加了SSL层,更安全
3.HTTPS效率低,HTTP效率高
Q:HTTPS传输过程?
A:客户端发起 HTTPS 请求,服务端返回证书,客户端对证书验证,验证通过后本地生成用于改造对称加密算法的随机数,通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数,之后的数据交互通过对称加密算法进行加解密。
Q:为什么需要证书?
A:防止中间人攻击,验证服务器身份
Q:怎么防止的篡改?
A:证书是公开的,虽然中间人可以拿到证书,但私钥无法获取,公钥无法推断出私钥,所以篡改后不能用私钥加密,强行加密客户也无法解密,强行修改内容,会导致证书内容与签名中的指纹不匹配