Comme le protocole HTTP est basé sur les données transmises en clair, de sorte que les données pendant la transmission est très vulnérable au vol, la falsification, ce qui conduit à une fuite d'informations importantes ou de fournir une information importante en cours de modification malicieusement. À ce stade, vous devez utiliser le protocole HTTPS.
HTTPS(Hypertext Transfer Protocol Secure)并不是一个新的协议,而是HTTP+SSL;
L'équivalent niché entre HTTP et la couche de transport SSL;
SSL的作用有:
1.认证客户端和服务器,确保数据发送到正确的地方(证书认证)
2.加密数据以防止数据中途被窃取(密钥加密)
3.维护数据的完整性,防止数据在传输过程中被篡改(数据签名)
※ En ce qui concerne le client doit d' abord obtenir la clé publique du serveur, et détermine que la clé publique est vraiment la clé publique du serveur (authentification de certificat), puis utilisez la clé publique pour chiffrer un symétrique être utilisé à côté, le chiffrement ci-clé clé, transmis au serveur, le serveur utilise sa propre clé privée pour déchiffrer la clé symétrique pour obtenir, après la transmission de données entre les deux est basé sur le chiffrement à clé symétrique.
Un sens unique HTTPS:
le soi-disant sens unique HTTPS, ce qui signifie que la certification, vous pouvez simplement aller au serveur d'authentification de fin de service à la clientèle, sans qu'il soit nécessaire pour le service d'authentifier le client.
Comme suit:
1. Le client envoie un lien HTTPS pour envoyer votre propre numéro de version SSL et pris en charge l' algorithme de hachage
2. serveur après réception de la demande HTTPS, la société paire de clés générée et la clé publique de l'AC pour générer le certificat, puis négocié sur la base du numéro de version SSL client a envoyé des algorithmes de hachage et leurs numéros de version et de l' algorithme de hachage, la version finale sera négociée, envoyer algorithme de hachage et le certificat au client
3. le certificat d'acceptation du client pour vérifier le certificat légitimité (CA après avoir utilisé un mécanisme clé publique de déchiffrement, l'utilisation de l'opération de hachage à clé publique du serveur une fois que cette signature numérique, si le même, le public n'a pas été falsifié),
suivi d'un certificat de confiance, ou si le client ne reçoit pas certificat de confiance:
1> navigateur génère un nombre aléatoire (clé symétrique), en utilisant la clé publique du serveur crypte le nombre aléatoire;
2> et génère ensuite une poignée de main de message, un hachage de hachage négocié de message de prise de contact avant utilisation le calcul, en utilisant le nombre aléatoire est ensuite chiffré;
3> est envoyé au serveur (comprend la transmission du contenu en utilisant un chiffrement à clé publique du nombre aléatoire crypté à l' aide d' un nombre aléatoire Les messages poignée de main, le message de poignée de main hash)
·因为证书中包含了证书的信息(颁发机构,服务器域名,有效期等),数字签名,服务器公钥,所以CA机构在返回给服务器证书时,使用CA机构的私钥对证书进行加密(后面服务端发送给客户端后,因为客户端浏览器内嵌了CA机构的公钥,所以可以直接解密);
·数字签名是指对服务器的公钥进行hash运算(之前协商),得到得信息摘要;
4. Après avoir reçu le serveur de messages:
1> à l' aide de la clé privée pour décrypter le nombre aléatoire;
2> obtenu après nombre aléatoire (clé symétrique) pour décrypter le message d'établissement de liaison;
3> utilisent alors le calcul de hachage du message d'établissement de liaison, pour comparer la valeur de hachage obtenue du message d'établissement de liaison;
serveur génère ensuite un message d'authentification en utilisant une opération de hachage effectuée, puis en utilisant un nombre aléatoire (clé symétrique) est crypté, transmis à la transmission clients (contenu comprend: l' utilisation d' un nombre aléatoire crypté un message de prise de contact et le hachage calculé) -> a ce moment, le chiffrement à clé publique et privée ne sont plus nécessaires, car le nombre aléatoire (clé symétrique) que si les deux parties savent.
5. Une fois que le client reçoit le message envoyé en utilisant le nombre aléatoire déchiffré, puis exécute la fonction de hachage sur le message d'établissement de liaison, à comparer la valeur de hachage pour passer au- dessus;
si la comparaison est couronnée de succès, la transmission de données proprement dite est effectuée, après quoi la transmission des données réelles ce nombre aléatoire est utilisé (clé symétrique) pour le chiffrement.
En second lieu , le HTTPS bidirectionnelle
bidirectionnelle HTTPS, comme son nom l' indique, est un client après avoir vérifié le serveur, le serveur doit également authentifier le client.
Juste à deux voies client HTTPS après le certificat du serveur d'authentification correctement, l' envoi de vérifier après avoir reçu leurs certificats et serveur clé publique. Ensuite , dans le processus d'envoi d' un nombre aléatoire, le client utilise la clé publique pour crypter le serveur et dans l' algorithme de chiffrement négocié lorsque le client envoie son option de cryptage, le serveur choisir un niveau élevé de façon de chiffrement en utilisant la clé publique pour chiffrer le client , envoyé au client.
Ce qui précède est à sens unique et à deux voies HTTPS HTTPS
