HTTP 的安全升级:HTTPS(安全超文本传输协议)
核心定义:HTTPS(HyperText Transfer Protocol Secure)是 HTTP 的加密版本,通过在HTTP和TCP之间加“SSL/TLS 加密层”,实现请求/响应数据的加密传输,解决HTTP 明文传输的安全隐患。 核心价值:确保数据传输的“机密性”(仅收发双方可解密)、“完整性”(数据不被篡改)、“身份认证”(确认目标服务器是合法的)。 1. 加密基础:对称加密与非对称加密 对称加密:加密和解密使用“同一把密钥”(对称密钥),秘钥需严格保密,仅手法双方知晓,加解密速度快,密钥易被窃取 非对称加密:加密和解密使用“一对密钥”(公钥+私钥):公钥加密→私钥解密;私钥加密→公钥解密,私钥仅服务器保管不传输,公钥可公开,加解密速度慢,无秘钥传输风险 2.身份认证核心:CA、数字证书与数字签名 HTTPS 的“身份认证”依赖 CA 机构和数字证书,解决“如何确认服务器是合法的,而非伪造的”问题。 (1)CA(证书颁发机构) CA 是公认的、权威的“数字证书颁发机构”,负责验证服务器的真实身份,为合法服务器颁发“数字证书”,同时自身拥有“根证书”(用于验证下级证书的合法性)。 (2)数字证书 数字证书是服务器的“数字身份证”,包含以下核心信息: · 服务器的域名、公钥; · CA 机构的数字签名; · 证书的有效期。 作用:客户端通过数字证书获取服务器公钥,同时验证服务器身份的合法性(由 CA背书)。 (3)数字签名(防篡改+身份认证) 数字签名是 CA 机构对数字证书内容的“加密验证信息”,基于非对称加密实现,核心流程: 1.CA 机构对服务器的证书信息(域名、公钥等)进行“哈希运算”,生成“信息摘要” (固定长度的唯一值,数据篡改后摘要会变化); 2.CA 用自己的“私钥”对信息摘要加密,生成“数字签名”,附在数字证书中; 3.客户端验证证书时,用 CA 的“公钥”(内置在浏览器/操作系统中)解密数字签名,获取信息摘要; 4.客户端对证书信息重新做哈希运算,对比两次摘要:一致则证书未被篡改,服务器身份合法;不一致则证书无效,拒绝通信。 技术小白,刚刚学习,跟大家分享一下,希望对大家有帮助,请大家多多指教
