文章编号:4236时间:2024-05-22人气:
在当今的数字时代,网络安全至关重要。随着网络攻击的不断增加,保护您的在线数据和业务免受恶意活动的侵害变得至关重要。HTTPS 证书是一种有效的工具,可帮助您提升网络安全水平,确保在线交易的安全并增强客户信任。
一、HTTPS 为什么安全
HTTPS,也称作 HTTP over TLS,TLS 前身是 SSL,会有各个版本。
TLS协议在TCP/IP协议栈中的关系
上图描述了在TCP/IP协议栈中TLS(各子协议)和 HTTP 的关系。HTTP+TLS 也就是 HTTPS,和 HTTP 相比, HTTPS的优势:
上面内容参考了HTTPS工作原理。(石头在N 久前用印象笔记收藏的,现在好多原文访问不了了)
HTTPS 原理
上图就是大致介绍了 HTTPS 的握手流程,感兴趣的同学可以用 WireShark 抓包详细看看其中的每一个步骤,有助于理解 HTTPS 的完整流程。这里,我就不详述了。
大致就是客户端和服务端通过“握手会谈”商量出一个双方支持的加密算法和相应随机参数,得到一对密钥,后续的传输的内容都通过这对密钥进行加解密。
这对密钥很牛皮,比如要加密传输消息『tangleithu』,客户端通过公钥加密得到的密文『xyyaabbccdd』进行传输,服务端用自己的私钥对密文解密,恰好能得到『tangleithu』。中间错一位都不行,这样就保证了数据完整和隐私性。
因此,你在通过 HTTPS 访问网站的时候,就算流量被截取监听,获取到的信息也是加密的,啥实质性的内容也看不到。
例如,如下图所示,当我访问某个网站,此时通过 wireshark 抓包得到的信息,能获得仅仅是一些通信的IP地址而已。
HTTPS加密传输
这下放心了吗?
摸鱼的过程中,就算访问的 IP 地址被知道了,好像也无关紧要?
其实,有了 IP 地址也能获取不少信息了。
还好这个 IP 搜出来是 github,而不是……
你或许会高兴,连个网站域名都看不到,可以放心摸鱼了。不过,这是真的吗?
二、HTTPS 真的安全吗?
HTTPS 真的完全安全吗?连访问的域名都获取不到?答案是否定的。
上述 HTTPS 在握手阶段有一个很重要的东西 —— 证书。
—— 域名裸奔
当访问 HTTPS 站点时,会首先与服务器建立 SSL 连接,第一步就是请求服务器的证书。
当一个 server IP 只对应一个域名(站点)时,很方便,任意客户端请求过来,无脑返回该域名(服务)对应的证书即可。但 IP 地址(IPv4)是有限的呀,多个域名复用同一个 IP 地址的时候怎么办?
服务器在发送证书时,不知道浏览器访问的是哪个域名,所以不能根据不同域名发送不同的证书。
因此 TLS 协议升级了,多了 SNI 这个东西,SNI 即 Server Name Indication,是为了解决一个服务器使用多个域名和证书的 SSL/TLS 扩展。
现在主流客户端都支持这个协议的。别问我怎么知道这个点的,之前工作上因为这个事情还费了老大劲儿……
它的原理是:在与服务器建立 SSL 连接之前,先发送要访问站点的域名(Hostname),这样服务器会根据这个域名返回一个合适的证书。此时还没有办法进行加解密,因此至少这个域名是裸奔的。
如下图所示,上面的截图其实是访问网站的抓包情况,客户端发送握手请求时,很自觉带上了自己的域名。
因此,即便是 HTTPS,访问的域名信息也是裸奔状态。你上班期间访问小电影网站,都留下了痕迹,若接入了公司网络,就自然而然被抓个正着。
除了域名是裸奔外,其实还有更严重的风险,那就是中间人攻击。
2.中间人攻击
前面也提到 HTTPS 中的关键其实在于这个证书。从名字可以看出来,中间人攻击就是在客户端、服务器之间多了个『中介』,『中介』在客户端、服务器双方中伪装对方,如下图所示,这个『MitmProxy』充当了中间人,互相欺骗:
可以安装 MitmProxy 或者 Fiddler 之类的抓包软件尝试一把,然后开启代理。
此时用手机访问网络,得到的信息如下:
证书信任前
提示,连接不是私密连接,其实就是浏览器识别了证书不太对劲,没有信任。而如果此时手机安装了 Fiddler 的证书,就会正常访问。
证书信任后可正常访问
因此,当你信任证书后,在中间人面前,又是一览无余了。
而如果你用了公司电脑,估计你有相应的操作让信任证书吧,或者手机上是否有安装类似的客户端软件吧?
抓紧时间看看手机的证书安装明细
三、如何防止信息安全,反爬
前面提到,要实施中间人攻击,关键在于证书是否得到信任。浏览器的行为是证书可以让用户授权是否信任,而 APP 就可以开发者自己控制。
比如我尝试通过类似的方式对某匿名社区进行抓包解密 HTTPS,但最终失败了,为什么呢?
这就要谈到『SSL Pinning』技术。
App 可以自己检验 SSL 握手时服务端返回的证书是否合法,“SSL pinning” 技术说的就是在 App 中只信任固定的证书或者公钥。
因为在握手阶段服务端的证书必须返回给客户端,如果客户端在打包的时候,就把服务端证书放到本地,在握手校验证书的环节进行比较,服务端返回的证书和本地内置的证书一模一样,才发起网络请求。否则,直接断开连接,不可用。
当然,一般情况下,用这种技术也就能防止 HTTPS 信息被解密了。
不过,也还有其他的技术能够破解这种方法,比如 Android 下的一些 Hook 技术,具体而言就是绕过本地证书强校验的逻辑。感兴趣的同学可以抱着学习目的研究一下。不过据说这种方式需要对系统进行 Root、越狱等,需要一些更高权限的设置。
因此,也告诫我们,一定不要乱安装一些软件,稍不注意可能就中招,让自己在互联网上进行裸奔。一方面个人隐私信息等泄露,另外一个方面可能一些非常重要的如账户密码等也可能被窃取。
四、可能的监控手段有哪些?
办公电脑当然要接入公司网络,通过上面介绍的内容,你也应该知道,你在什么时候浏览了哪些网站,公司其实都是一清二楚的。
若自己的手机如果接入了公司网络也是一模一样(连 Agent 软件都不需要装)。这就提醒我们,私人上网尽量用自己的移动网络呀。
上面提到,如一些涉及隐私的敏感信息,如一些 PC 软件、手机 App 自己内部加密传输的话,内容加密(包括但不限于 HTTPS)不被破解也问题不大。
不过,这当然依赖这些软件设计者的水平了。比如同一个匿名用户对外展示的 ID 不能相同,如果是同一个的话也恰好暴露了逻辑漏洞。
当然,我们还是不要抱有侥幸心理,在监管的要求下,如果确实有一些违法等不恰当的言论等,始终还是有门路找到你的。
更何况,一般办公电脑都会预安装一些公司安全软件,至于这些软件究竟都干了些什么,有没有进行传说中悄悄截图什么的,这就因人(公司)而异了。(不讨论类似行为是否涉及到侵犯了员工隐私等问题)
您好!
HTTPS也称之为SSL证书,网站部署SSL证书是一种数字证书,主要是给予网站HTTPS安全协议加密传输与信任的功能。Gworg 选择对应的SSL证书类型。
网站实现加密传输
用户通过http协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。
网站安装SSL证书后,使用https加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。
认证服务器真实身份
钓鱼欺诈网站泛滥,用户如何识别网站是钓鱼网站。
网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
此外,证书显示的信息包含完整的公司信息。此类证书通过256位SSL加密来保障在线交易安全,能使你的用户和访问者明白他们与你网站的信息传输是采用先进的SSL加密技术,有赔付保障。
EV SSL证书内容
浏览器显示绿色地址栏,绿色“锁”型安全标志,超强的256位加密保护,以及公司的名称和证书颁发该证机构名称。
在网站使用HTTPS协议后,由于SSL证书可以认证服务器真实身份,从而防止钓鱼网站伪造
提高网站搜索排名
通过网络公告的颁布,明确指出搜索引擎在排名上,会优先对待采用HTTPS协议的网站。
提高网站访问速度
通过HTTP vs HTTPS对比测试,表明使用了SSL证书的新一代HTTP2协议,其访问网站的速度远远快于使用HTTP协议的网站。
提高公司品牌形象和可信度
部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
主要重要项目:数据传输加密、真实身份认证、数据完整性、浏览器信任SSL特点:主要用于提高应用程序之间数据的安全性。 该安全协议主要提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变。 它能使客户一服务器应用之间的通信不被攻击者窃听。 举例说明SSL应用场景:SSL提供了两台机器间的安全连接。 支付系统通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。 大部分Web浏览器和Web服务器都内置了SSL协议,比较容易应用。 SSL协议建立在可靠的传输层协议(如TCP)之上,与应用层协议无关。 它在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。 高层的应用层协议(如HTTP,FTP,TELNET等)可以透明地建立于SSL协议之上。 应用层协议所传送的数据都会被加密,从而保证通信的私密性。 其它含义:HTTPS协议可以被搜索引擎优先收录,HTTP2.0协议可以提升网页访问速度,APP或者小程序开发强制使用SSL证书。 举例说明SSL应用场景:1、2018年谷歌与网络等搜索引擎公开说明,将优先收录HTTPS站点。 2、IETF会让所有互联网通路默认 HTTP 2.0 HTTP 2.0 选择的方式来引入加密,互联网专家们将新一代加密协议称为“HTTP 2.0”。 3、APP、小程序移动应用开发传输协议强制HTTPS传输,并且要达到ATS安全标准。
内容声明:
1、本站收录的内容来源于大数据收集,版权归原网站所有!
2、本站收录的内容若侵害到您的利益,请联系我们进行删除处理!
3、本站不接受违法信息,如您发现违法内容,请联系我们进行举报处理!
4、本文地址:https://www.ed4.cn/article/3da18d8a3b35c335dede.html,复制请保留版权链接!
FTP服务器配置指南,从基础到进阶一、引言随着互联网技术的不断发展,文件传输协议,FTP,在数据传输领域扮演着重要角色,FTP服务器作为一种重要的网络应用服务,广泛应用于企业、个人以及各类组织,实现了文件的便捷传输和共享,本文将详细介绍FTP服务器的基础知识和进阶配置方法,帮助读者更好地理解和应用FTP服务器,二、FTP服务器概述FT...。
最新资讯 2024-07-28 15:47:45
CN域名注册费用大比拼,哪个服务商更优惠,=======================引言,随着互联网的发展,域名作为企业在网络世界中的标识,其重要性日益凸显,其中,CN域名,即中国域名,因其与中国的紧密联系,受到广大企业和个人的青睐,不少域名注册服务商也应运而生,它们提供的服务质量和价格各不相同,本文将围绕CN域名注册费用展开大...。
最新资讯 2024-07-09 17:49:08
在当今数字世界中,拥有一个在线标识对于任何企业或个人来说都至关重要,域名是您在线标识的重要组成部分,它是用户访问您网站的地址,选择一个合适的域名是至关重要的,因为它将影响您的网站的可见性和可信度,遵循以下逐步指南,注册您的域名并建立您的在线形象,第一步,选择域名注册商域名注册商是负责管理和分配域名的公司,有许多不同的注册商可用,因此请...。
互联网资讯 2024-05-22 16:30:50
随着国外空间产业的快速发展,越来越多的创新国外空间服务提供商涌现,这些提供商提供各种服务,以满足不同行业的不断增长的需求,在本文中,我们将探索全球范围内的创新国外空间服务提供商,重点关注以下领域,卫星图像和数据卫星通信卫星导航太空探索卫星图像和数据卫星图像和数据对于从农业到城市规划的广泛应用至关重要,创新国外空间服务提供商正在提供高分...。
互联网资讯 2024-05-22 09:48:36
59号元素是镧系元素它的原子序数为59,元素符号为Pr,原子量约为140.91g,mol,在周期表中,它位于镧系元素的第五周期,同位素有多种,比如最稳定的是原子序数为141的镧元素,在研究59号元素的化学性质时,首先需要了解它的原子结构和电子排布式,59号元素的原子结构可以通过电子排布式来描述,根据量子力学的原理,原子的电子分布遵循一...。
互联网资讯 2024-04-11 10:55:03
远程连接VPS服务器是当前互联网时代中一项重要的技能,尤其对于网络管理员和系统工程师来说,掌握各种工具和方法的使用技巧是至关重要的,在当今数字化的世界里,VPS服务器作为一种虚拟化的服务器,提供了灵活、可扩展的计算资源,为用户提供了更多控制和管理服务器的自由度,因此,学会远程连接VPS服务器成为了IT从业者的一项基本技能,要远程连接V...。
互联网资讯 2024-04-08 10:24:49
在当今数字化时代,随着互联网的普及和发展,人们越来越依赖于在线代理网站来获取信息、购买商品或服务,随之而来的问题是如何选择合适的在线代理网站,这就好比选择合适的避孕套大小尺寸一样重要,在选择合适的在线代理网站时,有一些关键因素值得我们注意,就像选择合适的避孕套大小尺寸一样,我们需要考虑在线代理网站的信誉和口碑,一个信誉良好且口碑较好的...。
互联网资讯 2024-03-25 11:22:36
如何选择适合您需求的服务器托管方案,如何选择适合自己的发型,选择适合自己的发型可能需要考虑脸型、发质、风格等因素,而选择适合您需求的服务器托管方案同样需要根据一系列因素进行综合评估,不同的网站或应用程序可能需要不同类型的服务器托管方案才能最大程度地满足其需求,本文将从性能、价格、安全性、可扩展性和客户服务等方面分析,帮助您了解如何选...。
互联网资讯 2024-03-05 11:00:16
了解HTTPS证书价格,不同类型、品牌及功能的比较在当今数字化时代,网络安全变得愈发重要,而HTTPS证书作为保障网站数据传输安全的重要工具,其价格也是网站所有者需要考虑的重要因素之一,本文将对不同类型、品牌以及功能的HTTPS证书进行详细比较和分析,帮助读者更好地了解HTTPS证书的价格构成和选择因素,不同类型的HTTPS证书值得注...。
互联网资讯 2024-02-29 11:45:52
如何选择适合自己的降压药,如何选择适合您的在线网页代理浏览器,如何选择适合自己的降压药,这是一个非常重要的问题,因为选择正确的降压药可以有效地控制血压,预防心血管疾病的发生,同样,选择适合自己的在线网页代理浏览器也是非常关键的,因为合适的浏览器可以帮助您更安全、更高效地浏览互联网,选择适合自己的降压药需要考虑自身的身体状况和血压水平...。
互联网资讯 2024-01-26 22:56:47
梧州网站设计招聘网,梧州网站设计,定制解决方案,助力企业发展,近年来,随着互联网技术的不断发展,网站设计成为企业推广和品牌建设的重要手段之一,梧州作为一个经济发达的城市,吸引了众多企业进驻,这也促使梧州网站设计行业的蓬勃发展,梧州网站设计招聘网作为一家专业的招聘平台,为企业提供优质的网站设计定制解决方案,助力企业实现可持续发展,梧州网...。
互联网资讯 2023-12-21 10:37:58
赣州网站建设,定制化开发,让您的网站与众不同随着互联网的快速发展,网站已经成为企业展示形象、推广产品和服务的重要工具,而在网站建设领域,赣州市以其独特的地理位置和经济条件,吸引了越来越多的企业和个人选择在这里建设网站,而为了让您的网站与众不同,定制化开发成为了一个不可忽视的重要环节,赣州网站建设的定制化开发,意味着将根据企业或个人的需...。
互联网资讯 2023-12-15 13:59:46