HTTPS 原理分析_Java

3.用了 https 就一定安全吗？

本文将层层深入，从原理上把 https 的安全性讲透。

# https 的实现原理

大家可能都听说过 https 协议之所以是安全的是因为 https 协议会对传输的数据进行加密，而加密过程是使用了非对称加密实现。但其实，https 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。

https的整体过程分为证书验证和数据传输阶段，具体的交互过程如下：

① 证书验证阶段

浏览器发起 https 请求
服务端返回 https 证书
客户端验证证书是否合法，如果不合法则提示告警

② 数据传输阶段

1.当证书验证合法后，在本地生成随机数

2.通过公钥加密随机数，并把加密后的随机数传输到服务端

3.服务端通过私钥对随机数进行解密

4.服务端通过客户端传入的随机数构造对称加密算法，对返回结果内容进行加密后传输

# 为什么数据传输是用对称加密？

首先，非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的；

另外，在 https 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以 https 中内容传输加密采取的是对称加密，而不是非对称加密。

# 为什么需要 ca 认证机构颁发证书？

http 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器，而 https 协议主要解决的便是网络传输的安全性问题。

首先我们假设不存在认证机构，任何人都可以制作证书，这带来的安全风险便是经典的“中间人攻击”问题。

“中间人攻击”的具体过程如下：

过程原理：

1.本地请求被劫持（如dns劫持等），所有请求均发送到中间人的服务器

2.中间人服务器返回中间人自己的证书

3.客户端创建随机数，通过中间人证书的公钥对随机数加密后传送给中间人，然后凭随机数构造对称加密对传输内容进行加密传输

4.中间人因为拥有客户端的随机数，可以通过对称加密算法进行内容解密

5.中间人以客户端的请求内容再向正规网站发起请求

6.因为中间人与服务器的通信过程是合法的，正规网站通过建立的安全通道返回加密后的数据

7.中间人凭借与正规网站建立的对称加密算法对内容进行解密

8.中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输

9.客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

由于缺少对证书的验证，所以客户端虽然发起的是 https 请求，但客户端完全不知道自己的网络已被拦截，传输内容被中间人全部窃取。

# 浏览器是如何确保 ca 证书的合法性？

1. 证书包含什么信息？

颁发机构信息
公钥
公司信息
域名
有效期
指纹
…

2. 证书的合法性依据是什么？

首先，权威机构是要有认证的，不是随便一个机构都有资格颁发证书，不然也不叫做权威机构。另外，证书的可信性基于信任制，权威机构需要对其颁发的证书进行信用背书，只要是权威机构生成的证书，我们就认为是合法的。所以权威机构会对申请者的信息进行审核，不同等级的权威机构对审核的要求也不一样，于是证书也分为免费的、便宜的和贵的。

3. 浏览器如何验证证书的合法性？

浏览器发起 https 请求时，服务器会返回网站的 ssl 证书，浏览器需要对证书做以下验证：

1.验证域名、有效期等信息是否正确。证书上都有包含这些信息，比较容易完成验证；

2.判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书，操作系统、浏览器会在本地存储权威机构的根证书，利用本地根证书可以对对应机构签发证书完成来源验证；

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、oppo等大厂，18年进入阿里一直到现在。

深知大多数java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。