域名https的缺點(diǎn)與改進(jìn)目標(biāo)
??HTTP的缺點(diǎn)
??HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測(cè)的缺乏, 而這兩點(diǎn)恰好是網(wǎng)絡(luò)支付,網(wǎng)絡(luò)交易等新興應(yīng)用中安全方面最需要關(guān)注的。
??關(guān)于 HTTP的明文數(shù)據(jù)傳輸, 攻擊者最常用的攻擊手法就是網(wǎng)絡(luò)嗅探, 試圖從傳輸過(guò)程當(dāng)中分析出敏感的數(shù)據(jù), 例如管理員對(duì)Web程序后臺(tái)的登錄過(guò)程等等, 從而獲取網(wǎng)站管理權(quán)限, 進(jìn)而滲透到整個(gè)服務(wù)器的權(quán)限。即使無(wú)法獲取到后臺(tái)登錄信息, 攻擊者也可以從網(wǎng)絡(luò)中獲取普通用戶的隱秘信息, 包括手機(jī)號(hào)碼, 身份證號(hào)碼, 信用卡號(hào)等重要資料, 導(dǎo)致嚴(yán)重的安全事故。進(jìn)行網(wǎng)絡(luò)嗅探攻擊非常簡(jiǎn)單, 對(duì)攻擊者的要求很低。使用網(wǎng)絡(luò)發(fā)布的任意一款抓包工具, 一個(gè)新手就有可能獲取到大型網(wǎng)站的用戶信息[3]。
??另外,HTTP在傳輸客戶端請(qǐng)求和服務(wù)端響應(yīng)時(shí), 唯一的數(shù)據(jù)完整性檢驗(yàn)就是在報(bào)文頭部包含了本次傳輸數(shù)據(jù)的長(zhǎng)度, 而對(duì)內(nèi)容是否被篡改不作確認(rèn)。 因此攻擊者可以輕易的發(fā)動(dòng)中間人攻擊, 修改客戶端和服務(wù)端傳輸?shù)臄?shù)據(jù), 甚至在傳輸數(shù)據(jù)中插入惡意代碼, 導(dǎo)致客戶端被引導(dǎo)至惡意網(wǎng)站被植入木馬 。
??域名https的改進(jìn)目標(biāo)
??HTTPS 協(xié)議是由 HTTP 加上TLS/SSL協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,主要通過(guò)數(shù)字證書(shū)、加密算法、非對(duì)稱密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密,實(shí)現(xiàn)互聯(lián)網(wǎng)傳輸安全保護(hù)。設(shè)計(jì)目標(biāo)主要有三個(gè)。
??(1)數(shù)據(jù)保密性:保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^(guò)程中不會(huì)被第三方查看。就像快遞員傳遞包裹一樣,都進(jìn)行了封裝,別人無(wú)法獲知里面裝了什么[4]。
??(2)數(shù)據(jù)完整性:及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西,但他有可能中途掉包,數(shù)據(jù)完整性就是指如果被掉包,我們能輕松發(fā)現(xiàn)并拒收[4]。
??(3)身份校驗(yàn)安全性:保證數(shù)據(jù)到達(dá)用戶期望的目的地。就像我們郵寄包裹時(shí),雖然是一個(gè)封裝好的未掉包的包裹,但必須確定這個(gè)包裹不會(huì)送錯(cuò)地方,通過(guò)身份校驗(yàn)來(lái)確保送對(duì)了地方。
??HTTPS的 原理
??① 客戶端將它所支持的算法列表和一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)送給服務(wù)器 。
??② 服務(wù)器從算法列表中選擇一種加密算法,并將它和一份包含服務(wù)器公用密鑰的證書(shū)發(fā)送給客戶端;該證書(shū)還包含了用于認(rèn)證目的的服務(wù)器標(biāo)識(shí),服務(wù)器同時(shí)還提供了一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù) 。
??③ 客戶端對(duì)服務(wù)器的證書(shū)進(jìn)行驗(yàn)證(有關(guān)驗(yàn)證證書(shū),可以參考數(shù)字簽名),并抽取服務(wù)器的公用密鑰;然后,再產(chǎn)生一個(gè)稱作 pre_master_secret 的隨機(jī)密碼串,并使用服務(wù)器的公用密鑰對(duì)其進(jìn)行加密(參考非對(duì)稱加 / 解密),并將加密后的信息發(fā)送給服務(wù)器。
??④ 客戶端與服務(wù)器端根據(jù) pre_master_secret 以及客戶端與服務(wù)器的隨機(jī)數(shù)值獨(dú)立計(jì)算出加密和MAC密鑰(參考 DH密鑰交換算法)。
??⑤ 客戶端將所有握手消息的 MAC 值發(fā)送給服務(wù)器。
??⑥ 服務(wù)器將所有握手消息的 MAC 值發(fā)送給客戶端。
??HTTPS 主要由兩部分組成:HTTP + SSL / TLS,也就是在 HTTP 上又加了一層處理加密信息的模塊。Google、Facebook和國(guó)內(nèi)諸多大型互聯(lián)網(wǎng)公司應(yīng)用已經(jīng)全面支持 HTTPS,并且蘋(píng)果和谷歌兩大公司也在積極推動(dòng) HTTPS 擴(kuò)大應(yīng)用 范圍,對(duì) HTTPS 協(xié)議在全球網(wǎng)站的部署進(jìn)度起到加速作用。想要獲得更多關(guān)于域名https的內(nèi)容,請(qǐng)關(guān)注新網(wǎng)。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)
送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)
需注明出處:新網(wǎng)idc知識(shí)百科