您可能知道HTTPS 比HTTP 更安全。但它们之间到底有什么区别呢?密钥和TLS/SSL 证书是什么?
如何在客户端和服务器之间交换数据
当您在浏览器中键入URL 名称时,就会向服务器发送请求。但是,HTTP(超文本传输协议)和HTTPS(安全超文本传输协议)协议之间存在显着差异。
HTTP的
当客户端通过http 与服务器通信时,所有数据均以纯文本形式发送。如果黑客可以捕获数据并将其发送到您的服务器,那么他或她读取数据将没有问题。此外,HTTP 使用比HTTPS 更小的步长来发起数据交换。
HTTPS的
与HTTP 不同,通过HTTPS 发送的数据是完全加密的。这意味着只有正确的服务器才能解密客户端发送的数据。
在上图中,您可以看到客户端和服务器之间交换数据所需的步骤的另一个差异。 TLS 握手。
TLS(传输层安全性)握手
HTTP 和HTTPS 之间最显着的区别是数据交换是加密的。这就要求客户端和服务器都拥有一个只能用于加密和解密数据的密钥。为了建立这样的安全连接,HTTPS 使用TLS 握手。
TCP 握手完成后,客户端和服务器之间就会建立连接。现在服务器会要求您再次通过https 连接。服务器用其公钥进行响应。使用此公钥,客户端可以创建并加密对称密钥并将其发送到服务器。服务器可以使用私钥解密对称性。这样客户端和服务器就拥有相同的密钥。
但仍然有一个问题。黑客能够获取服务器的公钥并将其替换为自己的公钥,但他们需要证书来解决问题。
证书链
服务器发送证书和公钥。更准确地说,是该证书以及与其关联的所有CA 证书。浏览器发送一系列证书。使用这些证书,浏览器可以验证这是否是客户端想要与之通信的服务器。此验证如何进行?
客户端首先检查服务器证书。检查它是否仍然有效、颁发给谁以及由谁颁发(证书颁发机构,例如CA A)。我如何知道客户端是否可以信任该证书?找到颁发给CA A 的证书并仔细检查颁发者和颁发者到期日期。该链一直持续到根证书(浏览器信任库中的证书)出现为止。然后该过程反向进行。浏览器尝试使用房间证书的公钥验证根证书之前的最后一个证书。此过程沿着证书链向上移动,直到服务器证书得到验证。如果在此过程中发生错误(例如证书过期),您将在浏览器中收到错误消息。
现在安全吗?或者黑客是否可以更改证书中的公钥或替换证书?
服务器证书仅适用于服务器的公钥。如果密钥发生变化,验证过程将失败。当然,风险仍然存在。如果受信任的证书颁发机构遭到黑客攻击,黑客可能会尝试颁发虚假证书。但这不太可能。
版权声明:本文由今日头条转载,如有侵犯您的版权,请联系本站编辑删除。
