也许一个时代即将来临
2018年7月,Google即将发布新版本Chrome68,在这个版本中,Chrome会将所有的 HTTP 站点标记为“不安全”。这意味着当你浏览之前熟悉的网页(如12306)时,会收到浏览器的不安全提示。
以Chrome的近60%的个人电脑市场占有率,这几乎会引领一个时代,会强迫更多的公司将网站从HTTP转换为HTTPS。设想一下,两个竞争公司的官网,一个提示安全一个提示不安全,带来的将是毁灭性的打击。
为什么HTTPS是安全的
简单来讲HTTPS就是HTTP+SSL(或TLS),通加入SSL至少可以解决以下安全问题:
1. 通信数据明文传输问题;
简单讲一下对称加密与非对称加密:简而言之,对称加密就是加密与解密使用了相同的密钥,非对称加密的加密与解密使用了不同密钥。
再简单讲一下SSL:SSL全程为安全套接层(SecureSockets Layer),使用非对称加密算法 RSA、ECC等。理论上非对称加密算法可破解,但以目前的计算能力破解2048位的RSA可能要80年(也许以后量子计算可以秒了RSA),所以目前来说,SSL依然时安全的。
由于使用了HTTPS协议的网站与客户端之间的数据都是经过SSL加密的,所以解决了通信过程中的机密性与完整性的问题。
2. 信任问题。
使用了HTTPS的网站具有可以公开的公钥,这个公钥相当于我们的身份证,网站将公钥去第三方权威机构(CA,CertificationAuthority)进行认证,这个CA相当于我们的公安局。同样由于非对称加密算法如RSA的原因,想破解出这个公钥对应的私钥是相当困难的,我们信任权威机构CA,就信任了CA给与网站的身份证明。
总而言之,CA可以证明你是你自己,360是360。
HTTPS是怎么工作的
非对称加密算法是相对安全的,但却也耗费很多系统资源。相比之下,对称加密使用系统资源较少,适合于大量数据或批量数据的加密。
为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,可以看下图了解工作过程。
HTTPS工作过程有以下几个步骤:
1. 浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型;
2. 服务器接到请求,确定加密算法;
3. 服务器将数字证书反馈之浏览器;
4. 浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;
5. 浏览器将密文发送至服务器;
6. 服务器使用私钥进行解密得到会话密钥R;
7. 服务器使用会话密钥R将网页内容反馈之浏览器;
8. 浏览器使用会话密钥R解密,获得网页内容。
总结
至此,HTTPS的介绍就讲的差不多了,目前全世界人民愈加重视安全,相信到2018年7月后,Google将会引领一波潮流,将HTTP拍死在沙滩上。
来源:freebuf.com 2018-05-17 17:54:54 by: 360网络安全学院
请登录后发表评论
注册