HTTPS 原理介紹

<返回列表

1. 內容加密

江苏快三助手下载 www.ecbri.icu 加密算法一般分為兩種,對稱加密和非對稱加密。所謂對稱加密(也叫密鑰加密)就是指加密和解密使用的是相同的密鑰。而非對稱加密(也叫公鑰加密)就是指加密和解密使用了不同的密鑰。

非對稱密鑰交換

在非對稱密鑰交換算法出現以前,對稱加密一個很大的問題就是不知道如何安全生成和保管密鑰。非對稱密鑰交換過程主要就是為了解決這個問題,使得對稱密鑰的生成和使用更加安全。
密鑰交換算法本身非常復雜,密鑰交換過程涉及到隨機數生成,模指數運算,空白補齊,加密,簽名等操作。
常見的密鑰交換算法有 RSA,ECDHE,DH,DHE 等算法。它們的特性如下:

百度只支持 RSA 和 ECDH_RSA 密鑰交換算法。原因是:

  1. ECDHE 支持 ECC 加速,計算速度更快。支持 PFS,更加安全。支持 false start,用戶訪問速度更快。

  2. 目前還有至少 20% 以上的客戶端不支持 ECDHE,我們推薦使用 RSA 而不是 DH 或者 DHE,因為 DH 系列算法非常消耗 CPU(相當于要做兩次 RSA 計算)。

需要注意通常所說的 ECDHE 密鑰交換默認都是指 ECDHE_RSA,使用 ECDHE 生成 DH 算法所需的公私鑰,然后使用 RSA 算法進行簽名最后再計算得出對稱密鑰。
非對稱加密相比對稱加密更加安全,但也存在兩個明顯缺點:

  1. CPU 計算資源消耗非常大。一次完全 TLS 握手,密鑰交換時的非對稱解密計算量占整個握手過程的 90% 以上。而對稱加密的計算量只相當于非對稱加密的 0.1%,如果應用層數據也使用非對稱加解密,性能開銷太大,無法承受。

  2. 非對稱加密算法對加密內容的長度有限制,不能超過公鑰長度。比如現在常用的公鑰長度是 2048 位,意味著待加密內容不能超過 256 個字節。
    所以公鑰加密目前只能用來作密鑰交換或者內容簽名,不適合用來做應用層傳輸內容的加解密。

非對稱密鑰交換算法是整個 HTTPS 得以安全的基石,充分理解非對稱密鑰交換算法是理解 HTTPS 協議和功能的關鍵。
下面分別通俗地介紹一下 RSA 和 ECDHE 在密鑰交換過程中的應用。

對稱內容加密

非對稱密鑰交換過程結束之后就得出了本次會話需要使用的對稱密鑰。對稱加密又分為兩種模式:流式加密和分組加密。流式加密現在常用的就是 RC4,不過 RC4 已經不再安全,微軟也建議網站盡量不要使用 RC4 流式加密。
一種新的替代 RC4 的流式加密算法叫 ChaCha20,它是 google 推出的速度更快,更安全的加密算法。目前已經被 android 和 chrome 采用,也編譯進了 google 的開源 openssl 分支---boring ssl,并且 nginx 1.7.4 也支持編譯 boringssl。
分組加密以前常用的模式是 AES-CBC,但是 CBC 已經被證明容易遭受 BEAST 和 LUCKY13 攻擊。目前建議使用的分組加密模式是 AES-GCM,不過它的缺點是計算量大,性能和電量消耗都比較高,不適用于移動電話和平板電腦。

數據完整性

這部分內容比較好理解,跟平時的 md5 簽名類似,只不過安全要求要高很多。openssl 現在使用的完整性校驗算法有兩種:MD5 或者 SHA。由于 MD5 在實際應用中存在沖突的可能性比較大,所以盡量別采用 MD5 來驗證內容一致性。SHA 也不能使用 SHA0 和 SHA1,中國山東大學的王小云教授在 2005 年就宣布破解了 SHA-1 完整版算法。
微軟和 google 都已經宣布 16 年及 17 年之后不再支持 sha1 簽名證書。

身份認證

身份認證主要涉及到 PKI 和數字證書。數字證書有兩個作用:

  1. 身份授權。確保瀏覽器訪問的網站是經過 CA 驗證的可信任的網站。

  2. 分發公鑰。每個數字證書都包含了注冊者生成的公鑰。在 SSL 握手時會通過 certificate 消息傳輸給客戶端。

這里簡單介紹一下數字證書是如何驗證網站身份的,PKI 體系的具體知識不做詳細介紹。
證書申請者首先會生成一對密鑰,包含公鑰和密鑰,然后把公鑰及域名還有 CU 等資料制作成 CSR 格式的請求發送給 RA,RA 驗證完這些內容之后(RA 會請獨立的第三方機構和律師團隊確認申請者的身份)再將 CSR 發送給 CA,CA 然后制作 X.509 格式的證書。

申請者拿到 CA 的證書并部署在網站服務器端,那瀏覽器發起握手接收到證書后,如何確認這個證書就是 CA 簽發的呢?怎樣避免第三方偽造這個證書?
答案就是數字簽名(digital signature)。數字簽名可以認為是一個證書的防偽標簽,目前使用最廣泛的 SHA-RSA 數字簽名的制作和驗證過程如下:

  1. 數字簽名的簽發。首先是使用哈希函數對證書數據哈希,生成消息摘要,然后使用 CA 自己的私鑰對證書內容和消息摘要進行加密。

  2. 數字簽名的校驗。使用 CA 的公鑰解密簽名,然后使用相同的簽名函數對證書內容進行簽名并和服務端的數字簽名里的簽名內容進行比較,如果相同就認為校驗成功。

這里有幾點需要說明:

  1. 數字簽名簽發和校驗使用的密鑰對是 CA 自己的公私密鑰,跟證書申請者提交的公鑰沒有關系。

  2. 數字簽名的簽發過程跟公鑰加密的過程剛好相反,即是用私鑰加密,公鑰解密。

  3. 現在大的 CA 都會有證書鏈,證書鏈的好處一是安全,保持根 CA 的私鑰離線使用。第二個好處是方便部署和撤銷,即如何證書出現問題,只需要撤銷相應級別的證書,根證書依然安全。

  4. 根 CA 證書都是自簽名,即用自己的公鑰和私鑰完成了簽名的制作和驗證。而證書鏈上的證書簽名都是使用上一級證書的密鑰對完成簽名和驗證的。

  5. 怎樣獲取根 CA 和多級 CA 的密鑰對?它們是否可信?當然可信,因為這些廠商跟瀏覽器和操作系統都有合作,它們的公鑰都默認裝到了瀏覽器或者操作系統環境里。比如 firefox 就自己維護了一個可信任的 CA 列表,而 chrome 和 IE 使用的是操作系統的 CA 列表。


關鍵詞: https

原創文章,轉載請注明: 轉載自江苏快三助手下载

本文鏈接地址: HTTPS 原理介紹

上一篇:HTTPS 協議概述
下一篇:HTTPS 使用成本
https

閱讀過此文章的讀者,還閱讀過下面的文章

西安網站維護公司告訴

網站維護公司 2019-03-20 09:04:16
現在網絡營銷為大多數企業帶來了可觀的利潤,可見維護好自己的品牌的網站做好網絡推廣是多么的重要!你在選擇繼續觀望嗎?眾所周知,網站成 ...查看全文

HTTPS 計算性能優化

網站維護公司 2019-03-20 09:04:16
優先使用 ECCECC 橢圓加密算術相比普通的離散對數計算速度性能要強很多。下表是 NIST 推薦的密鑰長度對照表。對稱密鑰大小 | RSA 和 ...查看全文

關鍵詞無展現分析

網站維護公司 2019-03-20 09:04:16
賬戶方面:地域上:投放地域受到限制,造成了展現少;預算:預算設置少,導致提早下線,展現量也會少;時長:推廣在線時長短,未在投放時間 ...查看全文

為什么內容做得越來越

網站維護公司 2019-03-20 09:04:16
1、內容已經嚴重擁堵那種以為做出一個逆天創意就能自然刷屏的幻想,跟意淫沒什么區別。一個吊炸天的創意,可能被一坨坨屎一樣的創意埋得透 ...查看全文

HTTPS 對訪問速度的影響

網站維護公司 2019-03-20 09:04:16
在介紹速度優化策略之前,先來看下 HTTPS 對速度有什么影響。影響主要來自兩方面:協議交互所增加的網絡 RTT(round trip time)。加解 ...查看全文

為什么西安部分的中小

網站維護公司 2019-03-20 09:04:16
企尚網絡從成立到現在已近快有五年時間了,為西安周圍的中小企業做過的官方網站,營銷型網站,論壇及門戶有幾百家了。但是隨著時間的流逝, ...查看全文

西安百度推廣怎么開戶

網站維護公司 2019-03-20 09:04:16
西安百度推廣怎么開戶?1、地域政策需要了解當地的銷售體系和地域政策,不同地區、不同代理首次預存款、服務費收費標準都有所差距。特別注 ...查看全文

搜索推廣效果轉化漏斗

網站維護公司 2019-03-20 09:04:16
前期接觸過SEM推廣或者是聽過我們課程的朋友們,應該對這張搜索推廣效果轉化漏斗圖并不陌生了,實際就是搜索引擎網民轉化的過程,我們可以 ...查看全文

HTTPS 使用成本

網站維護公司 2019-03-20 09:04:16
HTTPS 目前唯一的問題就是它還沒有得到大規模應用,受到的關注和研究都比較少。至于使用成本和額外開銷,完全不用太過擔心。一般來講,使 ...查看全文

HTTPS 訪問速度優化

網站維護公司 2019-03-20 09:04:16
Tcp fast openHTTPS 和 HTTP 使用 TCP 協議進行傳輸,也就意味著必須通過三次握手建立 TCP 連接,但一個 RTT 的時間內只傳輸一 ...查看全文

SSL的三大誤區

網站維護公司 2019-03-20 09:04:16
網站欺詐(Phishing)目前日益猖獗,而很多安全廠商對此卻束手無策,在目前條件下,這類攻擊不是靠技術能解決的,需要靠人們搽亮眼睛。此外 ...查看全文

西安網站建設公司可提

網站維護公司 2019-03-20 09:04:16
西安網站建設可以提供網站維護服務,網站在使用過程當中,難免需要清除網站當中的緩存,這樣才能保證網站的運行速度相對來說比較快。而且有 ...查看全文
返回全部新聞

Copyright ? 2015 陜西企尚網絡科技有限公司 陜ICP備15000158號-1