网站的定位分析,时尚大气的网站设计,wordpress首页视频主题,微信微博网站建设【网络协议】【http】【https】RSAAES-TLS1.2
https并不是一个协议 而是在传输层之间添加了SSL/TLS协议 TLS 协议用于应用层协议#xff08;如 HTTP#xff09;和传输层#xff08;如 TCP#xff09;之间#xff0c;增加了一层安全性来解决 HTTP 存在的问题#xff0c;H…【网络协议】【http】【https】RSAAES-TLS1.2
https并不是一个协议 而是在传输层之间添加了SSL/TLS协议 TLS 协议用于应用层协议如 HTTP和传输层如 TCP之间增加了一层安全性来解决 HTTP 存在的问题HTTPS 就是使用 TLS 加密的 HTTP确保数据在客户端和服务器之间的安全传输。
这几个后面详细说一下
TLS解决了HTTP存在的问题解决方式明文传输数据存在窃听风险混合加密无法证明数据完整性数据可能被篡改。无法证明数据可靠摘要数字签名验证数据传输者身份CA数字证书
TLS 的主要特点 加密TLS 确保数据在传输过程中被加密防止被未授权的第三方窃取或篡改。 数据完整性TLS 使用数字签名和摘要哈希算法来验证数据在传输过程中未被篡改。证明数据来源可靠。 身份认证TLS 使用证书认证机制保证连接的服务器是合法的避免中间人攻击。
TLS 握手过程建立安全连接的过程涉及多个步骤 客户端向服务器发送支持的 TLS 版本和密码套件加密算法。 服务器响应客户端选择一种密码套件并返回自己的公钥通常会嵌入在由 CA证书授权中心签名的证书中客户端用这个公钥来验证服务器身份并交换加密密钥。 客户端和服务器进一步交换加密消息建立共享的密钥这个密钥会在会话中用来加密通信。
握手的阶段 在不同版本的 TLS 中握手过程的步骤数量不同 TLS 1.2 通常包含多个步骤过程较为复杂。 TLS 1.3 通过简化握手过程减少了握手的步骤使其更加高效只有两个主要阶段。 安全元素
基于RASAES的TLS1.2
1.客户端发起请求 首先客户端向服务器发送一个 “ClientHello” 消息这个消息中包括 TLS 版本客户端支持的最大 TLS 版本。 密码套件密钥交换算法非对称加密签名算法非对称加密且私钥加密公钥解密对称加密算法后续数据传输摘要算法hash 客户端随机数一个由客户端生成的随机数用于后续生成会话密钥。
2.服务器响应 服务器收到 “ClientHello” 后会返回一个 “ServerHello” 消息ServerHello是明文传输的其中包括 TLS 版本服务器选择的 TLS 版本。 密码套件密钥交换算法签名算法对称加密算法摘要算法 服务器随机数服务器生成的随机数。 服务器证书服务器随后会发送自己的证书通常是由一个受信任的证书颁发机构 CA 签名的这个证书中包含了服务器的公钥证明服务器的身份 如果是基于DH或ECDHE服务器还会向客户端发送**“ServerKeyExchange消息”的数字签名**确保数据完整性。
客户端验证服务器客户端使用 CA 的公钥来验证服务器证书的有效性 并获取服务器公钥
会检查数字签名(服务器会使用其私钥对一些重要的 TLS 握手消息如 “ServerKeyExchange”进行数字签名。)客户端收到这些签名后会使用服务器证书中的公钥解密签名得到哈希值TLS 握手消息先摘要再使用私钥加密 此时使用公钥解密客户端重新计算收到的消息的哈希值摘要并与解密后的哈希值进行比对。如果两个哈希值一致说明消息在传输过程中没有被修改确保了数据的完整性。(这里就是验证数据完整性 数字签名摘要)。
3.客户端 生成一个“预主密钥”并使用服务器的公钥对其进行加密然后发送给服务器。生成会话密钥。这个会话密钥将用于加密接下来的通信。客户端握手结束通知表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要用来供服务端校验。
4.服务器 解密这个预主密钥生成会话密钥客户端和服务器使用之前交换的随机数客户端随机数和服务器随机数以及预主密钥来生成会话密钥。这个会话密钥将用于AES对称加密加密接下来的通信。
如何验证CA证书可信
首先客户端会从服务器获取证书链。证书链通常包括服务器证书、一个或多个中间证书。 客户端首先会检查服务器证书的有效性包括证书的有效期、证书的颁发机构等。 然后客户端会使用 中间证书的公钥 来验证服务器证书的签名如上图证书签名验证。 接着客户端会检查中间证书的有效性并使用根证书的公钥来验证中间证书的签名。 最后客户端会检查根证书的有效性。由于根证书是自我签名的所以客户端会使用根证书的公钥来验证根证书的签名。 如果所有的证书都通过了验证那么证书链就被认为是有效的。如果任何一个证书没有通过验证那么证书链就被认为是无效的。 部分转自https://i-blog.csdnimg.cn/direct/ab9d5a5d087f42a18da1453774c0032e.png
