第四十八天

https如何保证的安全?

HTTPS（全称：Hypertext Transfer Protocol Secure）通过以下方式来保证通信安全：

1. SSL/TLS握手协议：

   • HTTPS首先使用SSL/TLS协议进行握手，这是一个加密通道建立的过程。在此过程中，客户端与服务器交换必要的公钥和证书信息，协商加密算法、生成会话密钥等。

2. 证书验证：

   • 服务器向客户端发送数字证书，这个证书由受信任的证书颁发机构（CA）签发，包含服务器的身份信息（域名、公司名称等）。客户端会验证证书的有效性，包括证书是否由可信的CA签发，是否过期，以及证书中的域名是否与正在访问的域名匹配。如果验证通过，客户端信任服务器的身份。

3. 加密通信：

   • 握手完成后，双方会生成一个唯一的会话密钥，用于对后续的通信内容进行加密。使用混合加密机制，即对称加密算法（如AES）用于快速加密数据主体，非对称加密算法（如RSA）用于安全地交换对称密钥。
   • 数据传输过程中，所有的通信内容（包括请求和响应）都将被加密，即便数据在传输过程中被截获，攻击者也无法直接解读数据内容。

4. 数据完整性：

   • HTTPS使用消息认证码（MAC）或散列算法（如HMAC）以及数字签名来校验数据完整性，确保数据在传输过程中未被篡改。在TLS协议中，这通常通过使用HMAC以及序列号来实现。

5. 防重放攻击：

   • 通过序列号和会话标识符的使用，TLS协议可以抵御重放攻击，即攻击者试图重播以前捕获的加密数据包。

6. 双向认证：

   • 在特定场景下，除了服务器需要向客户端证明自己的身份外，还可以配置客户端也需要向服务器证明身份，这就是所谓的双向认证。这样可以进一步增强安全性。

https连接的密钥流程?

HTTPS连接的密钥流程涉及多个步骤，确保了客户端与服务器间能够安全地交换数据。以下是HTTPS连接中密钥交换和加密的主要流程：

1. 服务器端准备：

   • 服务器拥有自己的密钥对，即一个私钥（服务器私钥S.pri）和一个公钥（服务器公钥S.pub）。私钥严格保密，仅存储在服务器上；公钥则包含在由权威的CA（Certificate Authority）签发的服务器证书中。

2. 证书交换：

   • 当客户端发起HTTPS连接时，服务器会发送其数字证书，其中包括服务器的公钥和其他身份信息。客户端验证这个证书是否由信任的CA签发并且有效。

3. 非对称加密握手：

   • 客户端使用服务器提供的公钥加密一个随机生成的对称密钥（会话密钥），或者在某些版本的TLS协议中使用DH/ECDH密钥交换算法直接在不安全信道上协商出一个共同的秘密值，这个秘密值随后用于生成会话密钥。

4. 密钥确认：

   • 服务器收到经过公钥加密的会话密钥后，使用其私钥解密得到该会话密钥。

5. 数据传输：

   • 客户端和服务端现在都拥有了相同的会话密钥。后续的所有通信内容都会使用这个对称密钥进行加密和解密。由于对称加密算法相比非对称加密更快，因此它大大提高了数据传输的效率，同时又因为会话密钥只在本次连接期间使用且已通过非对称加密安全交换，所以通信内容非常安全。

6. 完整性保护：

   • 除了加密，HTTPS还通过消息认证码（MAC）或散列函数来保证消息的完整性和防止中间人篡改数据。