大家早上好,有段時(shí)間沒(méi)更新文章了��。
其實(shí)疫情期間在家呆了一個(gè)多月的時(shí)間不能出門�,時(shí)間倒是挺多的,我也利用這段時(shí)間寫了幾篇新文章�。但由于新寫的這些文章大都是配合著新書(shū)中的內(nèi)容的,受疫情的影響我寫的新書(shū)遲遲不能出版�����,導(dǎo)致這些文章也無(wú)法發(fā)布����,等得我好是焦急。希望疫情早日結(jié)束���,大家都能快點(diǎn)恢復(fù)到正常的生活當(dāng)中��。
那么今天先發(fā)布一篇和Android無(wú)關(guān)的技術(shù)文章����。
https這項(xiàng)技術(shù)現(xiàn)在已經(jīng)應(yīng)用得非常廣泛了。隨著蘋果�����、Google等各大互聯(lián)網(wǎng)領(lǐng)頭企業(yè)紛紛在自己的操作系統(tǒng)����、瀏覽器等主流產(chǎn)品中強(qiáng)制要求使用https,http的淘汰也正式進(jìn)入了倒計(jì)時(shí)��。
其實(shí)https對(duì)于客戶端開(kāi)發(fā)人員來(lái)說(shuō)并沒(méi)有什么需要特別注意的地方��,因?yàn)榇a和寫http請(qǐng)求時(shí)并沒(méi)有什么兩樣�����。但也正是因?yàn)檫@個(gè)原因���,導(dǎo)致許多客戶端開(kāi)發(fā)人員對(duì)https并不了解�����,只知道它是安全的加密網(wǎng)絡(luò)傳輸���,對(duì)其具體的工作原理卻一無(wú)所知�。
那么客戶端開(kāi)發(fā)人員到底需不需要了解https呢���?我認(rèn)為還是有一定必要的��,掌握了https的工作原理可以幫助你更加有效地理解并解決一些工作當(dāng)中遇到的問(wèn)題����。另外��,有很多公司也喜歡在面試的時(shí)候問(wèn)一些https相關(guān)的問(wèn)題��,如果你完全不了解的話��,在這里就很容易會(huì)被刷掉���。
我自己當(dāng)初在學(xué)習(xí)https的時(shí)候查閱了很多網(wǎng)上的資料,但是絕大多數(shù)的文章寫得都不是那么易懂��,讓不少人對(duì)https產(chǎn)生了一些畏懼���。我認(rèn)為要想理解https的工作原理�,并不一定非得要知道它方方面面的細(xì)節(jié)(網(wǎng)上許多文章就是因?yàn)閷懙锰?xì),導(dǎo)致很難懂)�����,其實(shí)只要掌握它的整體工作流程��,以及搞清楚為什么它能夠保證網(wǎng)絡(luò)通信的安全就可以了�。因此,今天我就給大家?guī)?lái)一篇最好懂的https講解��。
在正式開(kāi)始講解https之前我們還得先搞清楚兩個(gè)概念:什么是對(duì)稱加密�����,以及什么是非對(duì)稱加密��?這兩個(gè)概念都是屬于加密學(xué)中的基礎(chǔ)知識(shí)�,其實(shí)非常好懂。
對(duì)稱加密比較簡(jiǎn)單�����,就是客戶端和服務(wù)器共用同一個(gè)密鑰�,該密鑰可以用于加密一段內(nèi)容,同時(shí)也可以用于解密這段內(nèi)容�����。對(duì)稱加密的優(yōu)點(diǎn)是加解密效率高,但是在安全性方面可能存在一些問(wèn)題����,因?yàn)槊荑€存放在客戶端有被竊取的風(fēng)險(xiǎn)。對(duì)稱加密的代表算法有:AES�����、DES等����。
而非對(duì)稱加密則要復(fù)雜一點(diǎn)�,它將密鑰分成了兩種:公鑰和私鑰。公鑰通常存放在客戶端����,私鑰通常存放在服務(wù)器。使用公鑰加密的數(shù)據(jù)只有用私鑰才能解密���,反過(guò)來(lái)使用私鑰加密的數(shù)據(jù)也只有用公鑰才能解密����。非對(duì)稱加密的優(yōu)點(diǎn)是安全性更高,因?yàn)榭蛻舳税l(fā)送給服務(wù)器的加密信息只有用服務(wù)器的私鑰才能解密�,因此不用擔(dān)心被別人破解,但缺點(diǎn)是加解密的效率相比于對(duì)稱加密要差很多�����。非對(duì)稱加密的代表算法有:RSA����、ElGamal等。
掌握了這兩個(gè)概念之后���,我們就可以開(kāi)始學(xué)習(xí)https了�����。這里先提前拋出一個(gè)問(wèn)題����,同時(shí)也是面試時(shí)可能經(jīng)常會(huì)問(wèn)到的一個(gè)問(wèn)題:https為了保證數(shù)據(jù)傳輸?shù)陌踩?��,使用的是?duì)稱加密還是非對(duì)稱加密呢����?
學(xué)完本篇文章之后你就能知道答案了。
首先我們來(lái)看一下�����,傳統(tǒng)的http方式在網(wǎng)絡(luò)傳輸時(shí)存在哪些問(wèn)題���。
由于我們?cè)趥鬏敂?shù)據(jù)時(shí)信息都是明文的�����,因此很容易出現(xiàn)數(shù)據(jù)被監(jiān)聽(tīng)和竊取的情況�����。示意圖如下:
另外���,傳輸?shù)臄?shù)據(jù)還有可能被一些別有用心的人篡改����,導(dǎo)致瀏覽器與網(wǎng)站收發(fā)的內(nèi)容不一致。示意圖如下:
也就是說(shuō)�,使用http傳輸數(shù)據(jù)至少存在著數(shù)據(jù)被監(jiān)聽(tīng)以及數(shù)據(jù)被篡改這兩大風(fēng)險(xiǎn),因此http是一種不安全的傳輸協(xié)議����。
那么解決方案大家肯定都知道是使用https�����,但是我們先嘗試著自己思考一下該如何保證http傳輸?shù)陌踩?����,進(jìn)而也就能一步步地理解https的工作原理了�����。
既然數(shù)據(jù)以明文的形式在網(wǎng)絡(luò)上傳輸是不安全的��,那么我們顯然要對(duì)數(shù)據(jù)進(jìn)行加密才行�����。剛才提到了��,加密方式主要有兩種���,對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密的優(yōu)點(diǎn)是加解密效率高����,而我們?cè)诰W(wǎng)絡(luò)上傳輸數(shù)據(jù)是非常講究效率的��,因此這里很明顯應(yīng)該使用對(duì)稱加密�。示意圖如下:
可以看到��,由于我們?cè)诰W(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是密文�,所以不怕被監(jiān)聽(tīng)者獲取到,因?yàn)樗麄儫o(wú)法得知原文是什么����。而瀏覽器收到密文之后,只需要使用和網(wǎng)站相同的密鑰來(lái)對(duì)數(shù)據(jù)進(jìn)行解密就可以了��。
這種工作機(jī)制看上去好像確實(shí)保證了數(shù)據(jù)傳輸?shù)陌踩?����,但是卻存在一個(gè)巨大的漏洞:瀏覽器和網(wǎng)站怎樣商定使用什么密鑰呢��?
這絕對(duì)是一個(gè)計(jì)算機(jī)界的難題�,瀏覽器和網(wǎng)站要使用相同的密鑰才能正常對(duì)數(shù)據(jù)進(jìn)行加解密�����,但是如何讓這個(gè)密鑰只讓它們倆知曉,而不被任何監(jiān)聽(tīng)者知曉呢���?你會(huì)發(fā)現(xiàn)不管怎么商定�����,瀏覽器和網(wǎng)站的首次通信過(guò)程必定是明文的�。這就意味著����,按照上述的工作流程,我們始終無(wú)法創(chuàng)建一個(gè)安全的對(duì)稱加密密鑰��。
所以�����,只使用對(duì)稱加密看來(lái)是永遠(yuǎn)無(wú)法解決這個(gè)問(wèn)題了�����,這個(gè)時(shí)候我們需要將非對(duì)稱加密引入進(jìn)來(lái)��,協(xié)助解決無(wú)法安全創(chuàng)建對(duì)稱加密密鑰的問(wèn)題。
那么為什么非對(duì)稱加密就可以解決這個(gè)問(wèn)題呢����?我們還是通過(guò)示意圖的方式來(lái)理解一下:
可以看到,如果我們想要安全地創(chuàng)建一個(gè)對(duì)稱加密的密鑰�����,可以讓瀏覽器這邊來(lái)隨機(jī)生成�,但是生成出來(lái)的密鑰不能直接在網(wǎng)絡(luò)上傳輸,而是要用網(wǎng)站提供的公鑰對(duì)其進(jìn)行非對(duì)稱加密����。由于公鑰加密后的數(shù)據(jù)只能使用私鑰來(lái)解密,因此這段數(shù)據(jù)在網(wǎng)絡(luò)上傳輸是絕對(duì)安全的�。而網(wǎng)站在收到消息之后,只需要使用私鑰對(duì)其解密�,就獲取到瀏覽器生成的密鑰了。
另外��,使用這種方式�,只有在瀏覽器和網(wǎng)站首次商定密鑰的時(shí)候需要使用非對(duì)稱加密,一旦網(wǎng)站收到了瀏覽器隨機(jī)生成的密鑰之后����,雙方就可以都使用對(duì)稱加密來(lái)進(jìn)行通信了���,因此工作效率是非常高的��。
那么�,上述的工作機(jī)制你認(rèn)為已經(jīng)非常完善了嗎?其實(shí)并沒(méi)有��,因?yàn)槲覀冞€是差了非常關(guān)鍵的一步����,瀏覽器該怎樣才能獲取到網(wǎng)站的公鑰呢?雖然公鑰是屬于公開(kāi)的數(shù)據(jù)���,在網(wǎng)絡(luò)上傳輸不怕被別人監(jiān)聽(tīng)��,但是如果公鑰被別人篡改了怎么辦�����?示意圖如下:
也就是說(shuō)��,只要我們從網(wǎng)絡(luò)上去獲取任何網(wǎng)站的公鑰��,就必然存在著公鑰被篡改的風(fēng)險(xiǎn)����。而一旦你使用了假的公鑰來(lái)對(duì)數(shù)據(jù)進(jìn)行加密,那么就可以被別人以假的私鑰進(jìn)行解密��,后果不堪設(shè)想��。
方案設(shè)計(jì)到這里好像已經(jīng)進(jìn)入了死胡同���,因?yàn)闊o(wú)論如何我們都無(wú)法安全地獲取到一個(gè)網(wǎng)站的公鑰�����,而我們顯然也不可能將世界上所有網(wǎng)站的公鑰都預(yù)置在操作系統(tǒng)當(dāng)中����。
這個(gè)時(shí)候���,就必須引入一個(gè)新的概念來(lái)打破僵局了:CA機(jī)構(gòu)�����。
CA機(jī)構(gòu)專門用于給各個(gè)網(wǎng)站簽發(fā)數(shù)字證書(shū)��,從而保證瀏覽器可以安全地獲得各個(gè)網(wǎng)站的公鑰�����。那么CA機(jī)構(gòu)是如何完成這個(gè)艱巨的任務(wù)的呢��?下面開(kāi)始一步步解析�。
首先��,我們作為一個(gè)網(wǎng)站的管理員需要向CA機(jī)構(gòu)進(jìn)行申請(qǐng)���,將自己的公鑰提交給CA機(jī)構(gòu)��。CA機(jī)構(gòu)則會(huì)使用我們提交的公鑰����,再加上一系列其他的信息�����,如網(wǎng)站域名���、有效時(shí)長(zhǎng)等����,來(lái)制作證書(shū)。
證書(shū)制作完成后��,CA機(jī)構(gòu)會(huì)使用自己的私鑰對(duì)其加密��,并將加密后的數(shù)據(jù)返回給我們����,我們只需要將獲得的加密數(shù)據(jù)配置到網(wǎng)站服務(wù)器上即可。
然后���,每當(dāng)有瀏覽器請(qǐng)求我們的網(wǎng)站時(shí)�,首先會(huì)將這段加密數(shù)據(jù)返回給瀏覽器���,此時(shí)瀏覽器會(huì)用CA機(jī)構(gòu)的公鑰來(lái)對(duì)這段數(shù)據(jù)解密�。
如果能解密成功���,就可以得到CA機(jī)構(gòu)給我們網(wǎng)站頒發(fā)的證書(shū)了�,其中當(dāng)然也包括了我們網(wǎng)站的公鑰�����。你可以在瀏覽器的地址欄上�����,點(diǎn)擊網(wǎng)址左側(cè)的小鎖圖標(biāo)來(lái)查看證書(shū)的詳細(xì)信息,如下圖所示�。
得到了公鑰之后,接下來(lái)的流程就和剛才示意圖中所描述的一樣了�。
而如果無(wú)法解密成功,則說(shuō)明此段加密數(shù)據(jù)并不是由一個(gè)合法的CA機(jī)構(gòu)使用私鑰加密而來(lái)的�����,有可能是被篡改了�����,于是會(huì)在瀏覽器上顯示一個(gè)著名的異常界面���,如下圖所示。
那么你可能會(huì)問(wèn)了�����,有了CA機(jī)構(gòu)之后就真的安全了嗎�����?我們?cè)跒g覽器端要使用CA機(jī)構(gòu)的公鑰來(lái)解密數(shù)據(jù),那么又該如何安全地獲取到CA機(jī)構(gòu)的公鑰呢�?
這個(gè)問(wèn)題就很好解決了,因?yàn)槭澜缟系木W(wǎng)站是無(wú)限多的���,而CA機(jī)構(gòu)總共就那么幾家���。任何正版操作系統(tǒng)都會(huì)將所有主流CA機(jī)構(gòu)的公鑰內(nèi)置到操作系統(tǒng)當(dāng)中,所以我們不用額外獲取���,解密時(shí)只需遍歷系統(tǒng)中所有內(nèi)置的CA機(jī)構(gòu)的公鑰���,只要有任何一個(gè)公鑰能夠正常解密出數(shù)據(jù),就說(shuō)明它是合法的���。
Windows系統(tǒng)的內(nèi)置證書(shū)如下:
但是即使使用CA機(jī)構(gòu)的公鑰能夠正常解密出數(shù)據(jù)�����,目前的流程也還是存在問(wèn)題的�。因?yàn)槊恳患褻A機(jī)構(gòu)都會(huì)給成千上萬(wàn)的網(wǎng)站制作證書(shū)���,假如攻擊者知道abc.com使用的是某家CA機(jī)構(gòu)的證書(shū)����,那么他也可以同樣去這家CA機(jī)構(gòu)申請(qǐng)一個(gè)合法的證書(shū),然后在瀏覽器請(qǐng)求abc.com時(shí)對(duì)返回的加密證書(shū)數(shù)據(jù)進(jìn)行替換���。示意圖如下:
可以看到���,由于攻擊者申請(qǐng)的證書(shū)也是由正規(guī)CA機(jī)構(gòu)制作的,因此這段加密數(shù)據(jù)當(dāng)然可以成功被解密��。
也正是因?yàn)檫@個(gè)原因��,所有CA機(jī)構(gòu)在制作的證書(shū)時(shí)除了網(wǎng)站的公鑰外����,還要包含許多其他數(shù)據(jù)����,用來(lái)輔助進(jìn)行校驗(yàn),比如說(shuō)網(wǎng)站的域名就是其中一項(xiàng)重要的數(shù)據(jù)�。
同樣是剛才的例子,如果證書(shū)中加入了網(wǎng)站的域名����,那么攻擊者就只能無(wú)功而返了�。因?yàn)?��,即使加密?shù)據(jù)可以被成功解密��,但是最終解密出來(lái)的證書(shū)中包含的域名和瀏覽器正在請(qǐng)求的域名對(duì)不上�,那么此時(shí)瀏覽器仍然會(huì)顯示異常界面���。示意圖如下:
好了�,方案設(shè)計(jì)到這里��,其實(shí)我們的網(wǎng)絡(luò)傳輸就已經(jīng)做到足夠的安全了����。當(dāng)然,這其實(shí)也就是https的工作原理��。
那么回到一開(kāi)始的問(wèn)題:https使用的是對(duì)稱加密還是非對(duì)稱加密呢���?答案也很明顯了��,https使用的是對(duì)稱加密與非對(duì)稱加密相結(jié)合的方式��。
當(dāng)然�����,如果你想繼續(xù)深入研究�,https中還有許許多多的細(xì)節(jié)值得去挖掘。但是繼續(xù)寫下去的話���,這篇文章可能就不再是最好懂的https講解了���,所以我覺(jué)得寫到這里剛剛好。
假如你和我一樣�,主要從事的是客戶端方向的開(kāi)發(fā),那么了解這么多https的知識(shí)已經(jīng)足夠應(yīng)對(duì)常見(jiàn)的面試以及工作中遇到的問(wèn)題了�����。
到此這篇關(guān)于最好懂的HTTPS講解的文章就介紹到這了,更多相關(guān)HTTPS講解內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�!
