其他
浏览器上那把「小锁」是什么?随处可见的 HTTPS 怎样保护你的网络安全
▍HTTP 带来的风险
致少数派:我叫李明,我的密码是 123456;我最近收到了什么新的私信?
答复:李明你好,已确认你的身份。昨天张三给你发了一条私信,内容是「天气真好」。
明信片嘛,所有邮递员都可以看到,所以大家不但知道了你的私信内容,大家甚至知道了你的姓名和密码
你虽然收到了一个答复,但是你无法确定到底是不是少数派给出的。万一哪个邮递员懒得(或者故意不去)送你的明信片,而自己随便写了一条私信回给你呢?
邮递员完成了派送,也成功取回了少数派给你的答复。但是少数派回复的私信内容明明是「天气真好」,有个捣蛋的邮递员把它改成了「天气真不好」
▍HTTPS 的互相问候
致少数派: 我需要访问私信; 我懂得使用 TLS_RSA_WITH_AES_256_GCM_SHA384 算法、 TLS_RSA_WITH_AES_128_GCM_SHA256 算法,你选一个; 我生成了一个随机数,11872
所需访问的网站
我所支持的算法
我生成的随机数
答复: 我们就用 TLS_RSA_WITH_AES_256_GCM_SHA384 算法吧; 我也生成了一个随机数,785391; 给你私信网站的证书(一个文件袋)
从你所给的几种算法中挑了一种,双方都合适的
也生成了一个随机数
给了你所需网站的证书
▍证书,一个文件袋
证书颁给了哪个或哪些网站(使用者)
证书的有效期的起止时间(有效期)
一个公钥
证书是由谁颁发的(颁发者)
RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 保证了 *.sspai.com 的证书是可信任的
DigiCert 保证了 RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 的证书是可信任的
浏览器,或者操作系统,充分信任 DigiCert(浏览器或操作系统会维护一个受信任的列表)
▍HTTPS 的初次加密尝试
【这是只有你和少数派才可以看到的内容】
一个双方都认可的加密算法 TLS_RSA_WITH_AES_256_GCM_SHA384,邮差可以偷看
一个少数派生成的随机数 785391,邮差可以偷看
一个你生成的随机数 11872,邮差可以偷看
另一个你生成的随机数 36721,只有你和少数派知道
▍愉快的秘密通信
邮差知道了你的私信内容、姓名和密码:在 HTTPS 中,由于通信使用 1627638 这个密码锁来加密,所以路上的邮差不可能知道信件的内容
无法确定到底是不是少数派给出的答复:在 HTTPS 中,证书的信任链保证了「公钥」的可信度,而公钥和私钥的匹配认证了少数派的身份
捣蛋的邮递员修改了信件内容:在 HTTPS 中,由于使用了密码锁,邮差读不了邮件,也无法写入信件
▍HTTPS 已随处可见
▍还有几个问题值得讨论
为什么要有「会话密钥」,直接使用公私钥对来通信不好吗?
为什么有些软件还是可以读取 HTTPS 内容?
你跟邮差之间通信,使用邮差的证书
邮差收到你的内容,转发给少数派,使用少数派的证书
邮差收到少数派的内容,用少数派的密码解密
邮差把少数派的答复转发给你,用与你之间的密码加密
自签名证书安全吗?
中间人还可以窃听到什么信息?
我需要访问私信
给你私信网站的证书(一个文件袋)
▍你可以做些什么
从一开始就使用 HTTPS
致少数派:我需要访问首页,这是我的个人信息
答复:我换地方了,请使用 https://sspai.com/ 重新访问
绝对不要信任不可靠的证书
有些银行网站,会让你提前安装「网银助手」,其中一步就是「把银行自己的证书安装到系统中」。这其实并不安全。不过现在这样做的银行已经越来越少了。
遇到证书过期、域名不匹配、信任链存在瑕疵的证书时,浏览器会给予全屏提示。此时虽然有小字可以点击「继续访问」,但是非常不推荐此时继续输入敏感信息。
为自己的网站加上 HTTPS
/ 更多热门文章 /