作者:https://juejin.im/post/5a7146fd51882573351a9d991,鲁兹链接:年前会议后马上就要过年了,公司的业务需求少了很多。不,王小二召开了一次技术会议来评估几年前能做些什么。 看到C哥写了一个清单,其中一条就是全站更新https。 C哥说:https是趋势,但目前我们的接口还是http。 appstore一直要求https。从安全和appstore审核的角度来看,年前我们就不得不更新全站的https。 有人自愿吗?小二想了一下:我来。C哥,懂https就好。 c:好的,小二,那就学习https,有时间再给我们做个参考。 小二:好的,C哥,保证完成!2、隐藏张三胖听说小二要做https,张三胖就走到小二身边。 张三胖:小二,听说你要做https?小二:对,三胖哥,我们得全站更新https。 你以前了解过吗?张三胖:哈哈,我真的明白了,更新https是个好主意。 小二:三胖哥,太好了。你有时间告诉我这件事吗?我不用花时间查资料。 张三胖:好了,现在有时间跟你说一下,正好复习一下。 小二:谢谢三胖哥今天中午请你吃饭。 3.对称加密是不够的。三胖:二,假设你用http协议给女朋友发私信 有泄漏的风险吗?小二:当然,http协议是明文传输,数据传输过程中任何第三方都可以拦截篡改明文。 三笑:对,我们画张图展示一下,你就知道信息被篡改有多尴尬了,哈哈。 小二:嗯?是的,那很尴尬。 我女朋友不会杀我的...三胖:其实可以避免使用https。 胖:小二,你懂对称加密和非对称加密吗?小2:理解少量 对称意味着加密和解密密钥是相同的。 非对称加密是用公钥加密的内容,只能用私钥解密,用私钥加密的内容只能用公钥解密。 胖:小二懂的挺多的。事实上,https是对称加密和非对称加密的特征。 但是你要注意,对称加密的速度是不对称加密的100倍左右。 小二:三胖哥,我明白了。然后用刚才的例子给我讲讲https的原理。 胖:好吧,就用刚才那个例子。 对称加密的速度非常快,所以你和女朋友之间的数据传输最好使用对称加密。 小二:当然可以,那我和我女朋友可以先约定一个秘钥。胖:对,我们再画一张图,展示一下你的数据传输过程。 小二:对,胖子,这样别人就没法拦截我的信息了。 胖:是的。 而且由于对称加密解密速度快,对你的数据传输速度影响不大。 但是怎么和女朋友沟通协商秘钥呢?小二:不容易。我可以在网上告诉他。 胖:哈哈,没有。 如果有人截获了你通过网络传输的秘钥怎么办?小二:嗯?是的,别人截取了秘钥后就可以篡改我的信息了。 Fat:这个时候,我们需要使用我们的非对称加密来协商您的对称加密密钥。 4.非对称加密解决忧愁和三胖:小美生成自己的公钥和私钥。在通信之前,她可以告诉你她的公钥是可以的。因为这个公钥是公开的,所以可以随便在网络中传输。 小二:嗯,我明白了,c哥。 我拿到小美的公钥后,用小美的公钥对对称加密密码进行非对称加密,并发送给小美。 小美用他的私钥解密后,得到了我生成的对称加密密码。 不是吗?胖子:对,就是这样。 但是还有一个令人头疼的问题。怎么保证拿到小美的公钥?假设中间人给你截取篡改了?小二:嗯...这确实是个问题。 把中间人的公钥发给我,让我用中间人的公钥加密我们对称加密的密码,然后中间人用他的私钥解密我们对称加密的密码。 这时中间人已经截获了小美的公钥,然后用小美的公钥加密我们的对称加密密码并发送给小美...太可怕了,我们的对称加密密钥就这样被盗了。 胖:其实抓包工具charles之所以能抓到https包,就是因为李用了你说的原理。我们稍后会详细说明。 现在问题变成了,你怎么保证你拿到的公钥是小美的? 小二:哎,真是头疼...三胖:你知道我们一般都有公证处吗?这个公证处是一个可信的架构,他公证的一切都是可信的。 小二:是的,我知道。前几天看新闻,一个老太太把自己在帝都的房产公证给了一个没有血缘关系的家伙。 胖子:那你想想。如果小美的公钥经过公证,是否可以确认这个公钥是小美的?小二:当然可以确认。 网络中有这样的公证处吗?胖:有这样的公证处。让我们打电话给网络CA中的公证处。 不得不佩服前辈们,他们在我们的电脑里预存了少量可信的CA证书,包括CA信息和CA公钥。 只要您的计算机安装了该系统,就会安装这些证书。 在这里,看看我的电脑默认安装的证书。 小二:哦,哦,我知道了。这意味着这些默认的CA证书是绝对可信的。 胖:对,就是这个意思。 所以只需要CA同时给小美出具证明,证明是小美就可以了。 颁发给CA小美的证书包含小美的个人信息和小美的公钥。 同时CA会给小美颁发一个私钥。 先把小美当成百度。我们先来看CA给百度颁发的证书。 小二:也就是说,只要保证CA发给小美的证书能安全的传给我就行了。 胖子:是的,现在问题变成了 小美的证书怎么才能安全传递给你?实际上CA发给小美的证书包括【小美的信息+公钥】和数字签名。 签名的内容是:用CA私钥加密的【小美的信息+公钥】的哈希值。 小二:哦,我好像懂了。 CA的证书包含了CA的公钥和少量关于CA的信息,而CA的证书默认存储在我的电脑里,我可以用CA的公钥解密,验证小美的证书是否正确。 胖子:对。 我们可以用你电脑中CA的公钥解密小美证书中的数字签名,从而得到签名的哈希值。 然后,你用同样的哈希算法哈希【小美的信息+公钥】。 如果小美证书中签名的哈希值与自己计算的哈希值一致,说明这个证书确实是小美的,否则就不是小美的证书。 小二:三胖哥,我懂了。 Https确实很麻烦,但是确实保护了我们的隐私。 胖子:对,有得有失!小二:嗯嗯。 现在我通过小美的证书安全的拿到了小美的公钥。 然后我在这里随机生成一个对称加密密钥。这个对称加密密钥用小美的公钥加密后,就可以安全的传输给小美了。 胖:对,小美用他的私钥解密,然后得到了你们约定的对称加密密码。 以后可以用对称加密传输数据了,对你抛媚眼,哈哈~小二:三胖哥真厉害,我再也不用担心和女朋友聊天被恶搞了。 胖:哈哈。 把自己当成浏览器,把小美当成服务器。 这就是整个https传输过程。 小二:我明白了。我来画一下浏览器和服务器之间https的运行过程。三胖哥,你看看对不对? 胖:还不错,还不错。小二很厉害。基本就是这个过程。 小二:不不,感谢三胖哥的指点,哈哈。 5.查尔斯抓取https数据包的原理。三胖:二,我们知道查尔斯抓取工具可以抓取https数据包。你知道原理是什么吗?小二:这个我真的不知道。按理说https是绝对安全的协议,内容不会被查尔斯抢到。 胖:还记得用charles抓取https数据包时,需要在手机上安装charles证书,并信任它吗?小二:对,对,有这一步。 Fat:就是这一步让Charles能够抓取你的https包。 我给你画个流程图,你就知道了。 小二:我明白了。我刚才不是这么说的吗? 所以https不是安全协议?胖:没有。 因为你安装并信任了查尔斯证书,是你自己主动泄露的,也可以说是你自己主动泄露的结果。 如果不信任charles证书,数据不会传输,连接会直接中断。 所以https还是一个安全的协议。 小二:我明白了。确实如此。谢谢三胖哥。 Happy Donehttps的原理明白了,接下来的事情就水到渠成了。 小二列出了以下要做的事情:1。向CA(公证处)申请你网站的证书;2.将代码中静态资源的http链接改为https链接;3.将ajax中的http链接修改为https链接;4.在nginx上部署证书;5.自检完成。 按照这个单子,小二一步步顺利完成。 终于,https在线完成,惬意地享受午后阳光,快乐搞定~作者:https://juejin.im/post/5a7146fd51882573351a9d99鲁兹链接:
