本文目录一览:
HTTPS 到底加密了些什么内容
https其实是有两部分组成:http + SSL / TLS,也就是在http上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的,且看下图。
1. 客户端发起https请求
客户端发起https请求就是指用户在浏览器里输入一个https网址,然后连接到server的443端口。
2. 服务器端的配置
采用https协议的服务器必须要有一套SSL数字证书,需要向CA组织(如WoSign沃通CA)申请。这套SSL证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
3. 传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,证书过期时间等等。
4. 客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
5. 传送加密信息
这部分传送的是用SSL证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
6. 服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
7. 传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
8. 客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。
使用HTTPS 的网站也能被黑客监听到数据吗
HTTPS可以加密传输客户端到服务器端的通讯数据,具有防篡改、防窃听的功能,安全性还是很高的。因为加密是通过SSL证书的私钥完成,即使黑客截取到了数据包,没有私钥也无法解密,得不到通讯内容。
但黑客可以利用一些漏洞攻破HTTPS。例如你没有保存好证书私钥,被黑客复制了,那后果可以自己想象。另外服务器使用了过时的加密套件、CA签发了错误的SSL证书等,都有可能被黑客利用发起中间人攻击,窃取到通讯内容。
谁知道https://是什么??
HTTPS的全称是超文本传输安全协议(Hypertext Transfer Protocol Secure),是一种 *** 安全传输协议。在HTTP的基础上加入SSL/TLS来进行数据加密,保护交换数据不被泄露、窃取。
通俗的来说,就是:
当你登陆一个有网站的网页时形成, 在填写该表格并点击“提交”后,您输入的信息可能被黑客截获不安全网站。 这些信息可以是银行交易的详细信息,也可以是您输入的个人隐私。 在黑客眼中,这种“拦截”通常被称为“中间人攻击”。 实际的攻击可能以多种方式发生,但最常见的一种是:黑客在托管网站的服务器上放置一个小的未检测到的监听程序。该程序在后台等待,直到访问者开始在网站上键入信息,并且它将激活以开始捕获信息,然后将其发送给黑客。
当您访问使用SSL加密的网站时,也就是HTTPS协议的网站,浏览器将与该网站建立友好加密的通道,保护您的隐私等数据不被泄露,没有人可以查看或访问您在浏览器中输入的内容,保证数据传输的安全性。
使用HTTPS 的网站也能被黑客监听到数据吗?
理论不可能劫取到任何传输信息监听到的数据都是高强度加密过的,实际上任何安全措施都无法百分百保证绝对安全。普通黑客就趁早打消这个念头基本不可能让你获取到有利数据。