最近二狗子宅在老家,最悠闲的就是泡壶茶看着院子的风景发呆一下午。今天,二狗子看到了对面自己暗恋的小翠花,看着美好的小翠花二狗子不禁想起了自己美好的初恋。
二狗子的初恋在初中,那个时候学校禁止带手机。上课交流靠三宝,脚踢屁股、笔戳后背和传纸条。最危险的就是传纸条,尤其是早恋,被老师抓到就是一首《凉凉》,然后叫家长,又是一首《爸爸妈妈的爱》。
二狗子很聪明,就跟初恋商量了一下,加密一下小纸条上面的内容,这样就算被班主任抓到也奈何不了。二狗子将英文字母和数字一一对应,组成一个密码本,这样小纸条上只写数字,收到后要将数字翻译成对应字母,再拼成拼音才能解密。
密码本成就了二狗子美好的初恋,后来二狗子长大了,成了一名程序员,他才发现,网络数据传输中的 HTTPS 其实也是类似的原理。
HTTPS的加密算法
聊 HTTPS 之前,我们先来看下 HTTP 协议,HTTP 协议(HyperText Transfer Protocol),即超文本传输协议,是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议 。
HTTPS,则是 HTTP over SSL,即 HTTP+SSL/TLS,可以理解为 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
上文中提到的传小纸条,其实也算是一种加密算法,而在 HTTPS 中应用的加密算法主要有以下几种:
1、对称加密
有流式、分组两种,加密和解密都是使用的同一个密钥。
例如:DES、AES-GCM、ChaCha20-Poly1305 等
2、非对称加密
加密使用的密钥和解密使用的密钥是不相同的,分别称为:公钥、私钥,公钥和算法都是公开的,私钥是保密的。非对称加密算法性能较低,但是安全性超强,由于其加密特性,非对称加密算法能加密的数据长度也是有限的。
例如:RSA、DSA、ECDSA、 DH、ECDHE
3、哈希算法
将任意长度的信息转换为较短的固定长度的值,通常其长度要比信息小得多,且算法不可逆。
例如:MD5、SHA-1、SHA-2、SHA-256 等
4、数字签名
签名就是在信息的后面再加上一段内容(信息经过 hash 后的值),可以证明信息没有被修改过。hash 值一般都会加密后(也就是签名)再和信息一起发送,以保证这个hash值不被修改。
HTTPS 为什么安全
HTTP 请求过程中,客户端与服务器之间没有任何身份确认的过程,数据全部明文传输,“裸奔”在互联网上,所以很容易遭到黑客的攻击。
图中可以看到,客户端发出的请求很容易被黑客截获,如果此时黑客冒充服务器,则其可返回任意信息给客户端,而不被客户端察觉,所以我们经常会听到一词“劫持”。
上图是 HTTPS 握手流程,可以看到相比 HTTP,HTTPS 传输更加安全。
-
所有信息都是加密传播,黑客无法窃听。
-
具有校验机制,一旦被篡改,通信双方会立刻发现。
-
配备身份证书,防止身份被冒充。
而 HTTPS 一整套的加解密和校验方案,主要从下面三个方面确保传输的安全。
1. 身份认证
传输之前首先通过数字证书来确认身份,各大 CA 厂商干的就是这个事情。这里涉及到一个名词:数字证书。数字证书分为公钥和私钥,CA 厂商会用自己的私钥来给证书申请者签发一套包含私钥和公钥的客户证书,客户的公钥证书谁都可以获取,里面包含了客户站点和证书的基本信息,用来确保访问者访问的就是他想要访问的站点。
这个证书不可以伪造吗?答案是真的不可以。
原因一:系统早已内置了各大 CA 厂商的公钥来校验证书是否是对应的站点的证书,如果不是,就会给出证书不匹配的提示,除非你给别人的设备强行植入假的 CA 公钥。
原因二:这个证书是 CA 厂商通过哈希并加密得到的,基本无法逆向破解并伪造一个新的,除非是你黑进 CA 获取了 CA 的私钥,那这家 CA 也基本可以倒闭了。
2. 数据保密
数据保密包括会话秘钥传输时候的保密和数据的加密传送。具体的加密方式就不再赘述了。
3. 数据完整
身份认证成功后,到了数据加密传输的阶段,所有数据都以明文(HTTP)收发,只不过收发的是加密后的明文。这时候也遇到了一个问题,虽然中间人很难破解加密后的数据,但是如果他对数据进行了篡改,那该怎么办?此时加密套件验证数据一致性的哈希算法就派上用场了,哈希算法有多种,比如 MD5 ,SHA1 或者 SHA2 等,上面举例的加密套件使用的是 SHA2 中的 SHA256 来对数据进行哈希计算。这样就使得任何的数据更改都会导致通信双方在校验时发现问题,进而发出警报并采取相应的措施。
如何将 HTTP 升级为 HTTPS?
部署 HTTPS 需要以下三个必要条件或步骤:
-
申请 SSL 证书,你可以选择收费或者免费的的 SSL 证书,不同类型的 SSL 证书安全程度不尽相同。
-
部署 SSL 证书,又拍云提供一键部署,平台全局自动化管理,采用了最优质的 HTTPS 加速解决方案,可帮助用户以最低的成本,享受最优的服务,完成网站 HTTP 到 HTTPS 的转换。
-
将网站所有 HTTP 链接更换为 HTTPS。
又拍云是众多云厂商中唯一一家提供两款免费的 SSL 证书的云厂商,同时也提供各种付费证书的购买。最近全新上线了 GlobalSign SSL 证书,GlobalSign 成立于 1996 年,是一家声誉卓著,备受信赖的 CA 中心和 SSL 数字证书提供商,在全球总计颁发超过 2000 万张数字证书。偷偷的告诉你,最近 GlobalSign SSL 证书全新上线,有非常大的促销力度哦~
推荐阅读