https 原理与实践

https,原理,实践 · 浏览次数 : 458

小编点评

```go package  mainimport ( \"log\" // \"fmt\" // \"io\" \"net/http\")func HelloServer(w http.ResponseWriter, req *http.Request) { w.Header().Set(\"Content-Type\", \"text/plain\") w.Write([]byte(\"This is an example server.\\")) // fmt.Fprintf(w, \"This is an example server.\\") // io.WriteString(w, \"This is an example server.\\")}func main() { http.HandleFunc(\"/hello\", HelloServer) err := http.ListenAndServeTLS(\":443\", \"server.crt\", \"server.key\", nil) if err != nil {  log.Fatal(\"ListenAndServe: \", err) }} //测试下访问(base) ➜  ~ curl https://proxy.example.com:443/hellocurl: (60) SSL certificate problem: self signed&certificateMore details here: https://curl.se/docs/sslcerts.htmlcurl var base = "https://proxy.example.com:443/hello" var certPath = "server.crt" var keyPath = "server.key" //先测试下访问(base) ➜  ~ curl https://proxy.example.com:443/hellocurl: (60) SSL certificate problem: self signed&certificateMore details here: https://curl.se/docs/sslcerts.htmlcurl //设置证书域名 base = "https://proxy.example.com:443/hello" base = base + certPath //设置证书路径 base = "https://proxy.example.com:443/hello" base = base + keyPath //设置信任路径 err := http.SetTrust(&base, &certPath, &keyPath) //访问(base) ➜  ~ curl https://proxy.example.com:443/helloThis is an example server.发现当前访问已经成功了。完美收工。。。 //参考文献 go 语言精进之路.归纳总结以上内容,生成内容时需要带简单的排版

正文

https 原理与实践

经典三问,是什么,为什么,怎么做?

是什么

是一种http的安全协议,在tcp ip网络模型里,http应用层是在tcp 传输层之上的,https协议规定了在tcp传输层之上还有一层tls/ssl层,这一层对http应用层发出去和接收的报文做加密和解密。 image.png

为什么

出现https原因,在我看来有两点

1,因为http是明文传输,极不安全,需要对报文进行加密。

2,我们无法确认浏览的网站的身份信息,如果是钓鱼网站,诱使我们输入银行账号密码之类的就麻烦了。

怎么做

简而言之,「https规定了 加密算法对报文进行加密,解决明文传输的问题。采用数字证书的方式解决对服务端的身份认证问题」

加密报文方式

对称加密和非对称加密

对称加密是加密和解密都采用同一个密钥。 非对称加密 将密钥分为公钥和私钥, 公钥进行加密的报文,用私钥可以解密。私钥加密的报文,用公钥可以解密(这种加密方式也是数字证书采用的原理)

一般对称加密会比非对称加密性能高几个数量级。但是就安全性而言,非对称加密安全性会更高,那么https采用的是什么加密方式呢?

两者结合的加密方式

由于对称加密性能更好,所以https在真正加密报文时还是采用的对称加密方式,但是对称加密的密钥是通过非对称加密协商后传给对方的。这样的加密方式就能保证在性能更好的前提下也有不错的安全性。

数字证书原理以及应用

数字证书是什么

数字证书 是一个可信组织验证和签发的识别信息。有点类似于现实生活中的身份证,公安机关给我们颁发身份证为的就是证明个人身份,而在网络世界里,这个组织就是ca组织。

来看看向ca组织提交注册信息以及验证数字证书的过程。

go语言精进之路截图

go语言精进之路截图

server.key是网站拥有的自己的私钥,ca.key是ca的私钥,server.crt是网站的数字证书。

1,首先网站服务将自身的一些基本信息通过自身的私钥进行加密,然后将自身的公钥和基本信息密文通过证书签名请求的格式传递给ca。 2,ca得到请求后,利用网站服务的公钥,对其基本信息进行解密。然后再按x509数字证书规范生成公钥证书。

这里涉及到ca对证书信息的加密方式,前面提到用私钥加密的数据,可用公钥解密,当将证书信息通过私钥加密后,客户端就能通过ca的公钥去解密证书,能成功解密,说明证书的确是ca颁发的。

但实际加密却不是这样,因为非对称加密算法 加密的信息越多性能越差,所以是将证书信息通过摘要算法生成固定长度的字符后,再采用ca私钥对其摘要进行加密。 摘要算法(常见的如MD5,sha)确保了数据的完整性,因为多次相同内容的数据用相同摘要算法计算的结果一致,所以能基本保证数据未被篡改。

3,x509数字证书里面包含 以下信息: 服务端公钥(server.pub); 证书相关属性信息,如域名、有效期等; 证书颁发机构的签名信息 4,然后就是客户端的解密过程,拿到证书以后,通过ca公钥对证书以及公钥信息的摘要密文进行解密,得到消息摘要,然后用摘要算法对证书信息以及公钥信息进行摘要计算,将客户端得到的摘要和密文解密后的摘要进行对比,如果相同,说明内容未被篡改,证书有效。

数字证书的加密算法总结

通过私钥加密,公钥解密的方式提供证书的颁发证明,能成功解密说明证书的确是ca颁发的。 通过摘要算法,确保了证书的完整性,未被篡改的证明。

https握手过程简析

建立在https要解决什么问题的基础上,理解https的握手过程,看看它究竟做了什么设计,让握手过程更高效,更安全。

https是为了解决明文传输的不安全性,以及对端身份认证的问题。 go语言精进之路截图

1,客户端发送client hello信息将自身支持的tls版本,密码套件的信息传给服务端。

2,服务端接收后会发送server hello信息 选择tls版本和加密算法发给客户端。

3,然后服务端发送server certificate 信息将自身的证书下发给客户端。

4,然后服务端接着又发送密钥协商请求 server key exchange, 在密钥协商环节,通常会使用到Diffie-Hellman(DH)密钥交换算法,这是一种密钥协商的协议,支持通信双方在不安全的通道上生成对称加密算法所需的共享密钥。注意这种交换算法使用的目的是既让通信双方都拥有一样的密钥,但是呢,密钥又不是通过数据传输到对面的,是协商产生的。

5 接着客户端收到证书后,先检验证书的有效性, 然后客户端生成接下来加密通信的密钥,同时将生成密钥的一些参数 用服务端的公钥加密后 发送给 服务端,这个阶段称为client key exchange阶段,服务端收到后按这些参数后用自身的私钥解密 然后也生成相同密钥。

6,最后客户端和服务端分别会将连接至今的所有报文进行加密发送给对方,以验证tls握手成功。

golang声明https服务器

懂了交互逻辑以后,就知道了,声明一个https服务的时候,得有一个ca颁发的证书,证书里面包含服务端自身的公钥信息和一些基本信息,然后还得指明明服务器的私钥,用于tls握手过程中对密钥协商参数的加解密。

package main

import (
    // "fmt"
    // "io"
    "net/http"
    "log"
)

func HelloServer(w http.ResponseWriter, req *http.Request) {
    w.Header().Set("Content-Type", "text/plain")
    w.Write([]byte("This is an example server.\n"))
    // fmt.Fprintf(w, "This is an example server.\n")
    // io.WriteString(w, "This is an example server.\n")
}

func main() {
    http.HandleFunc("/hello", HelloServer)
    err := http.ListenAndServeTLS(":443", "server.crt", "server.key", nil)
    if err != nil {
        log.Fatal("ListenAndServe: ", err)
    }
}

基于上述https原理,下面我将会用openssl 工具以及golang程序来演示下https加解密过程。

生成服务器私钥

openssl genrsa -out server.key 2048

生成x509证书

openssl req -new -x509  -key server.key -out server.crt -days 3650

server.crt 就是我们的自签名证书了,然后启动go https服务

启动go https服务

package main

import (
 "log"
 // "fmt"
 // "io"
 "net/http"
)

func HelloServer(w http.ResponseWriter, req *http.Request) {
 w.Header().Set("Content-Type", "text/plain")
 w.Write([]byte("This is an example server.\n"))
 // fmt.Fprintf(w, "This is an example server.\n")
 // io.WriteString(w, "This is an example server.\n")
}

func main() {
 http.HandleFunc("/hello", HelloServer)
 err := http.ListenAndServeTLS(":443", "server.crt", "server.key", nil)
 if err != nil {
  log.Fatal("ListenAndServe: ", err)
 }
}

先测试下访问

(base) ➜  ~ curl https://proxy.example.com:443/hello
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.se/docs/sslcerts.html

curl 提示是自签名证书,因为我们使用的openssl 按x509标准生成的证书,不是ca颁发的,所以curl有这个错误。

让系统信任该证书

不同操作系统添加信任的方式不同,我使用的是mac os,在钥匙串应用里将证书添加进来并设置为信任。 image.png 注意这里我设置了证书的域名是proxy.example.com ,所以我还需要设置下这个域名对应的ip

设置域名

vim /etc/hosts

255.255.255.255 broadcasthost
127.0.0.1       localhost
::1             localhost

## 添加上这行
127.0.0.1 proxy.example.com

再次访问

(base) ➜  ~ curl https://proxy.example.com:443/hello
This is an example server.

发现当前访问已经成功了。

完美收工。。。

参考文献: go 语言精进之路

与https 原理与实践相似的内容:

https 原理与实践

https 原理与实践 经典三问,是什么,为什么,怎么做? 是什么 是一种http的安全协议,在tc

残差神经网络:原理与实践

VGGNet和GoogLeNet等网络都表明有足够的深度是模型表现良好的前提,但是在网络深度增加到一定程度时,更深的网络意味着更高的训练误差。误差升高的原因是网络越深,梯度弥散[还有梯度爆炸的可能性]的现象就越明显,所以在后向传播的时候,无法有效的把梯度更新到前面的网络层,靠前的网络层参数无法更新,

TextCNN和TextRNN:原理与实践

1.TextCNN原理 CNN的核心点在于可以捕获信息的局部相关性,具体到文本分类任务中可以利用CNN来提取句子中类似N-Gram的关键信息。 (1)一维卷积:使用不同尺寸的kernel_size来模拟语言模型中的N-Gram,提取句子中的信息。即TextCNN中的卷积用的是一维卷积,通过不同ker

好书推荐《数据血缘分析原理与实践 》:数据治理神兵利器

大家好,我是独孤风。又到了好书推荐的时间。近几年来,国内数据治理蓬勃发展,数据的价值不断放大,数据正成为一种资产,也是新型的生产要素。数据血缘一词作为数据治理的一个核心概念,更是被频频提及。 但是国内数据治理方面的书籍还是少之又少,大多数还停留在纯理论阶段,与实践,行业联系不够紧密。不过好消息来了,

履约核心引擎低代码化原理与实践

业界,规则引擎是一个非常普遍的技术类工具,也有很多非常优秀的开源工具,例如Drools等,它是一种嵌入在应用程序中的组件,主要解决易变逻辑和业务耦合的问题,把易变的规则从应用程序代码中分离出来,进而提升交付效率,降低应用程序维护和可扩展性成本。

[转帖]Linux 网络栈原理、监控与调优:前言(2022)

http://arthurchiao.art/blog/linux-net-stack-zh/ Published at 2022-07-02 | Last Update 2022-07-02 本文尝试从技术研发与工程实践(而非纯理论学习)角度,在原理与实现、监控告警、 配置调优三方面介绍内核5.1

[转帖]Linux 网络栈接收数据(RX):配置调优(2022)

http://arthurchiao.art/blog/linux-net-stack-tuning-rx-zh/ 本文尝试从技术研发与工程实践(而非纯理论学习)角度,在原理与实现、监控告警、 配置调优三方面介绍内核5.10 网络栈。由于内容非常多,因此分为了几篇系列文章。 原理与实现 Linux

ChatGPT的原理与前端领域实践

## 一、ChatGPT 简介 ### ChatGPT的火爆 ChatGPT作为一个web应用,自22年12月发布,仅仅不到3个月的时间,月活用户就累积到1亿。在此之前,最快记录的保持者也需要9个月才达到月活1亿。 ![](https://p3-juejin.byteimg.com/tos-cn-i

MySQL主从复制原理剖析与应用实践

MySQL Replication(主从复制)是指数据变化可以从一个MySQL Server被复制到另一个或多个MySQL Server上,通过复制的功能,可以在单点服务的基础上扩充数据库的高可用性、可扩展性等。

HBase Compaction 原理与线上调优实践

本文对 HBase Compaction 的原理、流程以及限流的策略进行了详细的介绍,列举了几个线上进行调优的案例,最后对 Compaction 的相关参数进行了总结。