在上篇文章中,我们了解到HTTP在通信过程中,存在以下问题:
- 通信利用明文(不加密),内容可能被窃听
- 不验证通信方的身份,因此有可能遭遇伪装
在采用SSL后,HTTP就拥有了HTTPS的加密、证书和完备性保护这些功能
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完备性的一种安全协议
二、如何做
SSL 的实现这些功能重要依赖于三种本领:
- 对称加密:采用协商的密钥对数据加密
- 非对称加密:实现身份认证和密钥协商
- 摘要算法:验证信息的完备性
- 数字签名:身份验证
对称加密指的是加密和解密利用的秘钥都是同一个,是对称的。只要保证了密钥的安全,那整个通信过程就可以说具有了秘密性
非对称加密
非对称加密,存在两个秘钥,一个叫公钥,一个叫私钥。两个秘钥是不同的,公钥可以公开给任何人利用,私钥则必要保密
公钥和私钥都可以用来加密解密,但公钥加密后只能用私钥解
密,反过来,私钥加密后也只能用公钥解密
混淆加密
在HTTPS通信过程中,采用的是对称加密+非对称加密,也就是混淆加密
在对称加密中讲到,如果可以或许保证了密钥的安全,那整个通信过程就可以说具有了秘密性
而HTTPS采用非对称加密办理秘钥互换的问题
具体做法是发送密文的一方利用对方的公钥进行加密处置惩罚“对称的密钥”,然后对方用本身的私钥解密拿到“对称的密钥”
如允许以确保互换的密钥是安全的前提下,利用对称加密方式进行通信
三、总结
可以看到,HTTPS与HTTP固然只差一个SSL,但是通信安全得到了大大的保障,通信的四大特性都以办理,办理方式如下:
- 秘密性:混淆算法
- 完备性:摘要算法
- 身份认证:数字签名
- 不能否定:数字签名
参考文献
- 为什么https比http更安全? - 知乎
- https://juejin.cn/post/6844903830987997197#heading-7
- 口试官:用了HTTPS就安全了吗?HTTPS 会被抓包吗?-腾讯云开发者社区-腾讯云
- 口试官:为什么说HTTPS比HTTP安全