2. 程式人生 > >HTTPS的數字證書驗證原理

HTTPS的數字證書驗證原理

阿新 發佈:2018-12-14

我們知道,網路請求中我們的網址分為兩種,分別是HTTP請求和HTTPS請求,而HTTPS是一種在HTTP的基礎上加了SSL/TLS層(安全套接層)的安全的超文字傳輸協議。HTTP的傳輸屬於明文傳輸,所以說是不安全,在傳輸的過程中容易被人擷取並且偷窺其中的內容,而HTTPS傳輸的資訊是通過加密的,也是一種安全的傳輸。

說到加密演算法,我們先來了解一下兩種常用的加密方式,分別是對稱加密和非對稱加密:

1.對稱加密:加密使用的祕鑰和解密使用的祕鑰是相同的,也就是說加密和解密都使用同一個祕鑰,加密演算法是公開的,祕鑰是加密者和解密者絕對保密的。

2.非對稱加密:加密使用的祕鑰和解密使用的祕鑰是不相同的,HTTPS在數字證書驗證的時候,採用的RSA密碼體制就是一種非對稱加密。

RSA是一種公鑰祕鑰密碼體制,現在使用非常廣泛,這個密碼體制分為三部分,公鑰、私鑰、加密演算法,其中公鑰和加密演算法是公佈的,私鑰是自己保密的。這種機制最大的特點是,通過公鑰加密的密文只有對應的私鑰才能解密,同樣通過私鑰加密的密文也是隻有對應的公鑰才能解密。下面我們將會講到HTTPS是如何通過RSA這種密碼體制去驗證身份的。

我們講解一下這個數字證書,這個有點像身份證,是由權威的CA機構頒發的,證書的主要內容有:公鑰、ISSUER(證書的釋出機構)、subject(證書持有者)、證書有效期、簽名演算法、指紋及指紋演算法。其中指紋是指這個證書是簽名,這個很重要,是用來驗證證書內容有沒有被篡改的。證書在釋出之前,ca機構會把證書內容用自己的私鑰通過指紋演算法計算出一個hash值,這個hash值只能通過頒發證書的ca機構的公鑰去解密,所以在驗證證書的時候,我們通過同樣的指紋演算法把接收到的證書內容進行hash計算得到另一個hash值,如果這個hash值跟證書上自帶的hash值相同,就代表證書沒有被修改過。

下面我們通過簡單的圖例來解析一下,整個HTTPS的數字證書的驗證過程是怎麼樣的,通過下面的分析,我們就可以明瞭為什麼HTTPS傳輸是安全的了。

圖示如下:

下面我們基於整個流程圖來講解數字證書的驗證過程,假設我們是一個瀏覽器的HTTPS請求。

1.首先我們的瀏覽器通過URL網址去請求某個後臺伺服器,伺服器接收到請求後,就會給瀏覽器傳送一個自己的ca數字證書。

2.瀏覽器接收到數字證書以後,就要進行驗證工作了。首先從證書的內容中獲取當前證書的頒發機構,然後從瀏覽器系統中去尋找此頒發機構是否為瀏覽器的信任機構。這裡解析一下,世界上就幾個權威的ca機構,這幾個機構都是預先嵌入到我們的瀏覽器系統中的。如果接收到的證書的頒發機構沒有在我們瀏覽器系統中的,那麼就會有警告提示,無法確認證書的真假。如果是受信任的機構,那麼就到下一步。

此時我們就可以從瀏覽器中找到機構根證書上的公鑰,用這個公鑰去可以去解析證書的簽名得到一個hash值H1,上面提到過,這個簽名是證書釋出之前機構用自己的私鑰加密而成的,所以這裡只能由對應的公鑰去解析。然後我們用證書的指紋演算法對證書的內容也進行一次hash計算得到另一個hash值H2,通過H1和H2的比對,如果相等,就代表證書沒有被修改過,可以信任的。此時我們再檢查證書的持有者的ID即對應的URL是否為我們請求的URL,如果是,那麼就可以證明瀏覽器當前連線的是正確的網址,而不是一些釣魚網之類的。

這裡我們假設,如果瀏覽器的連線被某個釣魚網截取了,釣魚網也是可以發一個自己的證書給瀏覽器,此時通過上面的驗證步驟,首先我們在證書沒有被篡改的情況下,我們對比證書上的URL和我們請求的URL,就可以知道我們連線的那個網址是不是正確的。所以說釣魚網就不能騙過我們了。

3.此時第二步完成了,我們可以確認是瀏覽器的連線網址是正確的,是我們想要連線的那個伺服器,而此時我們也拿到了證書上的公鑰。下一步有一個很重要的任務就是,將一個對稱加密演算法的祕鑰安全地發給伺服器。我們是這樣做的,我們將隨機產生一個字串R作為我們的祕鑰,然後通過證書公鑰加密成密文,然後將密文傳送給伺服器。因為此密文是用公鑰加密的,這是一個非對稱加密,是公鑰密碼機制(RSA)下的加密,上面我們講解過,此機制情形下,只有祕鑰的持有者才能對這個密文進行解密。所以說只有持有祕鑰的伺服器才能解析到密文內容。任何沒有祕鑰的第三方擷取到密文也是沒用的,因為解析不出來。

這裡還有一個很重要的步驟是,傳送密文的時候,我們會對訊息內容進行簽名操作。簽名我們上面講解過,就是對密文內容進行一次hash計算得到一個hash值,同時將這個hash值進行加密和訊息內容一起傳送出去。接收方收到訊息以後,通過私鑰解析密文,同時也會對訊息內容進行同樣的hash計算得到hash值,通過比對兩個hash值是否相同來判斷密文是否有修改過。

4.通過第三步的操作,此時客戶端和伺服器都擁有了同樣的對稱加密演算法的祕鑰,因為只有它們兩者知道,所以這時它們就可以愉快地安全通訊了。

5.通過上面我們可以看到,有兩個非常重要的步驟,第一是驗證數字證書的正確性還有連線網址是否正確,第二是通過RSA機制的原理安全地進行了對稱加密演算法祕鑰的傳遞。這兩步安全完成以後,整個HTTPS的數字證書的驗證就算是成功了。

好了,通過上面 的講解,相信我們已經理解整個HTTPS請求是怎樣進行數字證書的安全驗證了。

 

 

 

 

相關推薦

HTTPS數字證書驗證原理

我們知道,網路請求中我們的網址分為兩種,分別是HTTP請求和HTTPS請求,而HTTPS是一種在HTTP的基礎上加了SSL/TLS層(安全套接層)的安全的超文字傳輸協議。HTTP的傳輸屬於明文傳輸,所以說是不安全,在傳輸的過程中容易被人擷取並且偷窺其中的內容,而HTTPS傳輸的資訊是通過加密的,

Java訪問HTTPS證書驗證問題

rar html illegal fault tle 包含 verify boolean mitm 為了盡可能避免安全問題,公司的很多系統服務都逐步https化,雖然開始過程會遇到各種問題,但趨勢不改。最完美的https應用是能實現雙向認證,客戶端用私鑰簽名用服務端公鑰加密

https數字證書交換過程介紹

dig color 數字證書 信息 tar 一起 med www ron 文章轉自:https://www.2cto.com/kf/201804/739010.html,感謝原作者的辛苦整理,講解的很清楚,謝謝。 【https數字證書交換過程介紹】 註意:該問的背景用到了非

cxf+spring實現ws-security的數字證書驗證方式的記錄(包括生成證書步驟)

  第二步 服務端配置 1.放置證書的位置和屬性配置 將上面生成的檔案以Server開頭的檔案放置在src的cert包下 配置Server_Decrypt.properties,內容如下 org.apache.ws.security.crypto.provider=org.apache.ws.secur

iOS UIWebView 訪問https繞過證書驗證的方法

@implementation NSURLRequest (NSURLRequestWithIgnoreSSL) + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *

HTTPS/數字證書/數字簽名

HTTPS 所有的HTTP請求和響應資料都需要加密。 一個傳輸級的安全密碼層:SSL 後繼者:TLS。 我們不嚴格的用SSL表示SSL和TLS HTTPS是位於安全層之上的HTTP,這個安全層位於TCP之上。 為什麼用HTTPS (必要性) 伺服器認證

數字證書驗證過程

本地驗證過程: 1 檢查證書的有效期 2 檢查證書的金鑰用法KU和擴充套件金鑰用法EKU 3 檢查證書的主題或主體備用名稱SAN 4 檢查證書的CA簽名。證書鏈的構建,需要檢查每個CA證書的有效性,比如:有效期;金鑰用法,是否支援證書籤發;路徑長度限制(基本約束);名字約束

訪問https 繞過證書驗證方法

AFNetworking: /* 關閉驗證 */ AFSecurityPolicy *security = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone]; [securi

微信支付HTTPS伺服器證書驗證指引

轉載自:https://www.cnblogs.com/Alex80/p/8917033.htmlhttps://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_4安裝根證書。幾種常見的linux發行版本的操作命令

java Android OKHttp HTTPS 請求證書驗證 PEM證書(1)

呼叫new CustomTrust() 即可產生OkHttpClient 關鍵點: 1、將pem證書放入Raw或者assets目錄。 2、證書的KeyStore讀取方式。 3、HostnameVerifier過濾驗證。 講解: Pem 有多個 Ce

iOS開發-https證書驗證

此處博主做一個宣告,如果你想跳過https的雙向驗證,僅僅單向進行直接信任所有的證書,那麼你們的後臺也必須是允許單向驗證的,否則設定了雙向驗證,客戶端是無法跳過的,實在不想當初辛苦的經驗被無知的小白說成無用的垃圾,謝謝。想知道雙向驗證怎麼做的,請在https分類

數字簽名與數字證書原理

在瞭解數字簽名和數字證書之前,可以先了解一下加密演算法的一些常見分類,我之前寫了一篇介紹常見加密演算法的文章。https://www.cnblogs.com/mysticbinary/p/12615063.html # 將軍與士兵通訊 ---- 數字簽名原理 為了用最簡單的方式來講解數字簽名,我下面

HTTPS協議工作原理(SSL數字證書)

目錄 HTTPS SSL協議的工作過程 SSL數字證書的檢視 HTTPS 我們都知道HTTP協議是明文傳輸的,並且不能驗證對方的身份,而且不能保證資料的完整性。而當我們在網路上進行購物電子交易時,電子網銀轉賬時,這種方式就顯得很不安全了。如果黑客截取了我們和伺服器端的通訊資料

數字證書原理(ssl,https)

文中首先解釋了加密解密的一些基礎知識和概念,然後通過一個加密通訊過程的例子說明了加密演算法的作用,以及數字證書的出現所起的作用。接著對數字證書做一個詳細的解釋,並討論一下windows中數字證書的管理,最後演示使用makecert生成數字證書。如果發現文中有錯誤的地方,

瀏覽器驗證網站數字證書的流程(HTTPS協議)

關於瀏覽器驗證網站數字證書的流程網上的資料一般講的都不是很清楚。在查閱了不少資料後終於搞清楚這部分。 CA下發給網站的證書都是一個證書鏈,也就是一層一層的證書,從根證書開始,到下級CA,一層一層,最後一層就是網站證書。 瀏覽器收到伺服器傳送的證書後,需要驗證其真實性。而證書

數字證書原理 - 轉自 http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html

在操作 computer ide iis 中斷 計算 虛擬 from 上進 文中首先解釋了加密解密的一些基礎知識和概念,然後通過一個加密通信過程的例子說明了加密算法的作用,以及數字證書的出現所起的作用。接著對數字證書做一個詳細的解釋,並討論一下windows中數字證書的管理

HTTPS請求 SSL證書驗證

cer import failed blog kit urllib2 highlight www. header import urllib2 url = "https://www.12306.cn/mormhweb/" headers = {"User-Agent"

數字簽名原理簡介(附數字證書

的人 提高效率 接收消息 沒有 一個 mage tro 這就是 div http://www.cnblogs.com/kingsleylam/p/4985571.html 首先要了解什麽叫對稱加密和非對稱加密,消息摘要這些知識。 1. 非對稱加密 在通信雙方,

基於密鑰庫和數字證書的加密解密和簽名驗證操作

return 產生 初始 www. 數字證書 ray get put 庫文件 package com.szzs; import java.io.FileInputStream; import java.security.KeyStore; import java.sec

request發送HTTPS請求(處理SSL證書驗證)

瀏覽器 code erro 發送 傳輸層 查看 抓包 .com tcp連接 1、SSL是什麽,為什麽發送HTTPS請求時需要證書驗證? 1.1 SSL:安全套接字層。是為了解決HTTP協議是明文,避免傳輸的數據被竊取,篡改,劫持等。 1.2 TSL:Tran