Sólo cinco minutos después de leer este HTTPS, Ali fue a la entrevista y el entrevistador discusiones, no hay problema!

Ahora llegamos juntos para aprender sobre HTTPS, en primer lugar se hace una pregunta, ¿Por qué entonces tener HTTP, también es necesario tener HTTPS? Tengo repente una idea, ¿por qué necesitamos para responder a la entrevista cuando la respuesta estándar es? ¿Por qué no contar nuestras propias ideas y opiniones, hay que recordar algunos de la llamada respuesta estándar es? Hay técnica es o no correcta?

¿Por qué hay HTTPS

• Surgimiento de una nueva tecnología debe ser el fin de resolver un problema, entonces resolver el problema HTTPS HTTP que?

HTTPS resuelve el problema

• Una simple respuesta podría ser inseguro HTTP. Debido a la naturaleza de HTTP nacido expresamente la transmisión, durante la transmisión de HTTP, que alguien interceptar lata, modificar o solicitud forja, se puede considerar que no es seguro HTTP
• Durante la transmisión de HTTP no valida la identidad de las partes que se comunican, por lo que los dos lados HTTP intercambio de información pueden haber sido encubierta, es decir, sin la autenticación de usuarios
• HTTP durante la transmisión, el receptor y el emisor no comprueba la integridad del mensaje, el resumen, con el fin de resolver los problemas anteriores, HTTPS aplicación nacido.

¿Qué es HTTPS

¿Recuerdas que HTTP es la definición de la misma? HTTP es un (Hypertext Transfer Protocol) Protocolo de protocolo de transferencia de hipertexto, que es un equipo en el mundo especializado en convenciones y normas de transferencia de hipertexto de datos entre dos puntos de texto, imágenes, audio, vídeo, etc. , entonces miramos HTTPS la forma en que se define:

• HTTPS es sinónimo de transferencia de hipertexto protocolo seguro, que se utiliza entre dos sistemas finales en la red informática para el intercambio seguro de información (comunicación segura), que es equivalente a añadir una palabra ojo Secure HTTP seguro sobre la base de, entonces podemos dar a la definición de un HTTPS: HTTPS es una convenciones y normas especializados en el mundo de la seguridad informática en la transmisión de datos entre dos puntos de hipertexto de texto, imágenes, audio, vídeo, etc .
• HTTPS es una extensión del protocolo HTTP, que por sí misma no garantiza la seguridad de la transmisión, entonces, ¿quién va a garantizar la seguridad de la misma? En HTTPS, usando Transport Layer Security (TLS) o protocolo Secure Sockets Layer (SSL) para cifrar la comunicación. Es decir HTTP + SSL (TLS) = HTTPS.

HTTPS hizo lo

HTTPS protocolo proporciona tres indicadores clave

• Cifrado (encriptación), HTTPS mediante la encriptación de datos para que los datos de los fisgones de escucha, lo que significa que cuando un usuario está navegando por el sitio, nadie puede controlar el intercambio de información entre él y el sitio web, o el seguimiento de los usuarios actividades, el acceso a los registros, para robar información del usuario.
• Coherencia de los datos (integridad de los datos), los datos no se modificará una persona no deseada en el proceso de transmisión, los datos enviados por el usuario serán completar la transferencia al servidor, enviar al usuario para asegurar que lo que es, es lo que se recibe por el servidor.
• Autenticación (autenticación), se refiere a confirmar la verdadera identidad de uno al otro, es decir, demostrar que eres tú (se puede comparar con el reconocimiento de rostros), puede evitar que el intermediario *** y generan confianza del usuario.

Con tres indicadores clave para asegurar lo anterior, el usuario puede asegurar el intercambio de información y el servidor. Bueno, ya que dijo que los beneficios de HTTPS, así que sé cómo el sitio mediante HTTPS o HTTP es? le dará dos cifras deben ser capaces de explicar.

HTTPS es muy simple, documento RFC es muy pequeño, sólo un corto 7, que especifica el nombre del nuevo protocolo, el número de puerto predeterminado 443, el otro el modo de respuesta, la estructura de paquetes, método de petición, URI, campos de cabecera, conexiones gestión , etc., son plenamente en el uso de HTTP, no es nada nuevo.

En otras palabras, además del nombre del protocolo y el número de puerto predeterminado (por defecto HTTP puerto 80), HTTPS protocolo sobre sintaxis, semántica, y, como HTTP, HTTP y algunos, HTTPS también aceptar todo. Así, HTTPS cómo hacer la seguridad de HTTP no puede hacerlo? La clave es que este S es SSL / TLS.

¿Qué es SSL / TLS

Comprensión de SSL / TLS

TLS (Transport Layer Security) es el sucesor de SSL (Secure Socket Layer), que son de Internet entre dos ordenadores para la autenticación y el cifrado de protocolo.

Nota: En Internet, muchos nombres son intercambiables.

• Todos sabemos que algunos servicios en línea (como el pago en línea) El paso más importante es crear un entorno comercial fiable, permitiendo que los clientes se sientan como en las transacciones facilidad, SSL / TLS asegura que, SSL / TLS se hará referencia a por X 0,509 certificado de la información digital de documentos del sitio web de la empresa y las entidades ligado a la clave de cifrado para el trabajo.
• Cada par de claves (pares de claves) tiene una clave privada (clave privada) y una clave pública (clave pública), una clave privada única, normalmente se encuentra en el servidor y desencriptado por la clave común para cifrar la información, la clave pública es pública, interactúa con el servidor de todos pueden mantener información de clave pública encriptada con la clave pública sólo puede ser descifrado por el privado.

¿Cuál es X.509: X.509 certificado de clave pública es el formato estándar de este documento clave de cifrado (individuo u organización) a la seguridad asociada.

Las principales aplicaciones son las siguientes X.509

• SSL / TLS y HTTPS para navegar por Internet autenticado y encriptado
• Firmado y cifrado por S / MIME protocolo de correo electrónico
• Código de firma: Se refiere a la utilización de certificados digitales para firmar aplicaciones de software para la distribución segura y el proceso de instalación.

Y después de la firma; un certificado expedido por un certificado público conocido mediante el uso (por ejemplo SSL.com) emitida a digitalmente signo software, los desarrolladores pueden asegurarse de que quieren poner fin a los usuarios instalar el desarrollador de software es de confianza conocido y publicado por no se ha manipulado o comprometida.

• Puede ser utilizado para firmar el documento puede ser utilizado para la autenticación de clientes de tarjetas de identidad electrónicas emitidas por el gobierno (ver https://www.ssl.com/article/pki-and-digital-certificates-for-government/ )

Vamos a discutir más adelante.

HTTPS es HTTP kernel

HTTPS no es un nuevo protocolo de capa de aplicación, HTTP interfaz de comunicación sólo en parte por solamente SSL alternativa y TLS. Por lo general, HTTP y TCP primera comunicarse directamente. Después del uso de SSL HTTPS, será desarrollado primero en comunicarse con SSL, las comunicaciones continuación SSL y el TCP. En otras palabras, HTTPS está usando una capa de HTTP SSL . (Me gusta estar en Sao polvo última ...)

SSL es un protocolo independiente, no sólo HTTP puede utilizar otro protocolo de capa de aplicación también puede ser utilizado, tales como SMTP (protocolo de correo electrónico), Telnet (protocolo de inicio de sesión remoto) y así puede ser utilizado.

Explora HTTPS

He dicho, haciendo así que el nombre hasta el hardware rápido, por lotes también le gustaría presumir? Usted no sólo se mantiene en HTTPS TLS / SSL muslo Por qué, por qué para que el ganado lotes de Hong Kong, le gustaría explorar HTTPS, imbécil, y rápidamente cambiado a TLS es mi Señor, alabo al Señor.

SSL Secure Sockets Layer, es decir, que se encuentra en la quinta capa en el modelo de red de capa OSI de siete, SSL en 1999 por el IETF (Grupo de Ingeniería de Internet) cambió su nombre a TLS, Transport Layer Security que es, hasta ahora, TLS había aparecido un total de tres versión, 1.1, 1.2 y 1.3, el más ampliamente utilizado es 1,2, por lo que la siguiente discusión se basa en la versión de TLS 1.2.

TLS se utiliza para proporcionar privacidad y la integridad de los datos entre dos aplicaciones que se comunican. Por el TLS protocolo de registro, el protocolo de enlace, el protocolo de alerta, el cambio de cifrado de protocolo de especificaciones, protocolo extendido varias sub-protocolos, etc., usando una combinación de cifrado simétrico, cifrado asimétrico, autenticación , y muchos de tecnología criptográfica de vanguardia (si usted piensa que es una tecnología sencillo, simplemente no se aprende en su lugar, cualquier tecnología es estética, la gente de hardware rápidas simplemente disfrutar, no para menospreciar).

Una vez dicho esto durante mucho tiempo, no hemos visto TLS nombrarlo, He aquí un vistazo ejemplo, en la estructura TLS TLS (consulte https://www.iana.org/assignments/tls-parameters/tls-parameters. XHTML )

<pre style = "caja de dimensionamiento: frontera-box; esquema: none; margen: 0px; padding: 0px; border: 0px;-estilo de fuente: normal; font-variant-ligaduras: normal; font-variant-caps: normales ; font-variant-numérico: inherit; font-variant-este-asiático: inherit; font-weight: 400; font-stretch: inherit; font-size: 18px; line-altura: inherit; font-family: CourierNew, servicio de mensajería , espacio sencillo; vertical-align: baseline; color: rgb (93, 93, 93); letter-spacing: normal; huérfanos: 2; text-align: start; text-indent: 0px; text-transform: none; viudas: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb (255, 255, 255); text-decoration-style: inicial; text-decoration-color: inicial; ">

ECDHE-ECDSA-AES256-GCM-SHA384

</ Pre>

Esto es lo que significa? Acabo de empezar a ver un poco ah ignorante, pero en realidad no es una rutina, porque TLS cifrado bastante estándar, el formato básico es el  algoritmo de intercambio de claves - algoritmo de firma - un algoritmo de cifrado simétrico - algoritmo de resumen de  una cadena de código compuesta de, a veces hay modo de paquete, vamos a ver qué significa

ECDHE usando intercambio de claves, la autenticación y firmado usando ECDSA, luego se usa como un algoritmo de cifrado simétrico AES, la longitud de la clave es de 256 bits como una GCM modo paquete usado, las último como el algoritmo digest SHA384.

TLS cifrado simétrico y el cifrado asimétrico fundamentalmente dos formas.

El cifrado simétrico

Antes de cifrado simétrico entendimiento, primer vistazo a lo que la criptografía, la criptografía, hay varios conceptos: texto plano, texto cifrado, cifrado, descifrado

• De texto claro (texto claro), generalmente se considera de carácter de texto claro significativa o conjunto de bits o un mensaje se puede obtener algo de la codificación descrito. Por lo general, representado por el texto en claro m o p
• Texto cifrado (texto cifrado), después de una encriptación de texto plano en texto cifrado
• Cifrado (Cifrar), la información en bruto (texto plano) en la información del proceso de transformación de texto cifrado
• Descifrado (descifrar), el proceso de recuperación se ha cifrado la información en texto plano.

El cifrado simétrico (simétrico de cifrado) definición se refiere a las claves de cifrado y descifrado se utilizan para la misma clave . Mientras la clave de seguridad, todo el proceso de comunicación está teniendo confidencialidad.

• Hay más TLS cifrado algoritmos disponibles, tales como DES, 3DES, AES, ChaCha20, TDEA, Blowfish, RC2, RC4, RC5, IDEA, listado y así sucesivamente. El más comúnmente utilizado es AES-128, AES-192, AES-256 y ChaCha20.

• DES significa Data Encryption Standard (Data Encryption Standard), que es un algoritmo de cifrado de clave simétrica para datos digitales. A pesar de su longitud de clave de 56 bits corta que sea demasiado inseguro para las aplicaciones modernas para, pero tiene una gran influencia en el desarrollo de la tecnología de encriptación.

• 3DES se deriva del algoritmo de cifrado originales Data Encryption Standard (DES) a lo largo, se hace muy importante en la década de 1990, pero más tarde debido a la aparición de los algoritmos más avanzados, 3DES ya no es importante.

• AES-128, AES-192 y AES-256 son de AES, AES significa estándar de cifrado avanzado (Advanced Encryption Standard), que es un reemplazo para algoritmos DES, alta resistencia a la seguridad, el rendimiento también es muy bueno, es el más una amplia gama de algoritmo de cifrado simétrico.

• algoritmo de cifrado ChaCha20 Google es otro diseño, la longitud de la clave se fija en 256, software puro rendimiento de la carrera a más de AES, cada vez más popular en el cliente móvil, pero luego se unió a la optimización de hardware AES ARMv8, por lo que ahora ya no se tiene ventajas obvias, pero todavía se considera un buen algoritmo.

(Otro auto-búsqueda)

paquetes cifrados

• También hay un concepto de algoritmo de cifrado simétrico de modo paquete sobre el modo paquetes GCM única y AES, Camelia y con el uso de ARIA, mientras que AES es claramente el más popular y más ampliamente desplegado opción, que permite que el algoritmo con una longitud de clave de fijo encripta de texto claro de cualquier longitud.

• La primera ECB, CBC, CFB, OFB y otros tipos de modo de paquete, pero se han encontrado poco a poco a tener vulnerabilidades de seguridad, por lo que ahora, básicamente, no hacer el uso. El último modelo se llama paquetes AEAD (autenticados con cifrado de datos asociados), al tiempo que aumenta en función de autenticación cifrada, GCM uso común, CCM y Poly1305.

• Por ejemplo ECDHE_ECDSA_AES128_GCM_SHA256, representa la clave de 128 bits, AES256 que representa la clave de 256 bits. GCM de datos relacionados con la autenticación representados por cifrado moderna (AEAD) que tienen un modo de bloques de cifrado de 128 bits de la operación.

• Hablamos de por encima de cifrado simétrico, cifrado simétrico y descifrado de partido partidos cifrados utilizar la misma clave de cifrado, es decir, se debe cifrar los datos originales, y luego descifrar la clave para descifrar el partido, a continuación, ser descifrado datos, y esto causará ningún problema? Esto es como "El pequeño soldado" al mensajero (se cree que han sido cifrado), sino que también tomó el descifrado de Gazi, Gazi y si esa era la forma en que los diablos descubierto, es que esta carta puede ser completamente expuesto. Por lo tanto, el cifrado simétrico en riesgo.

El cifrado asimétrico

El cifrado asimétrico (asimétrico de cifrado) es también conocido como cifrado de clave pública, el respeto de cifrado simétrico, el cifrado asimétrico es un cifrado nueva y mejorada. Clave se transmite a través de la red de conmutación, es posible asegurar la clave oportuna ser interceptada datos no están expuestos. Hay dos claves de cifrado asimétricos, una clave pública, una clave privada, claves públicas para cifrar, descifrar la clave privada. clave pública disponible para que cualquiera lo use, la clave privada que sólo usted puede saber.

• El uso de cifrado de clave pública utilizando la clave privada para descifrar el texto solamente, al mismo tiempo, mediante el cifrado de clave privada también puede utilizar la clave pública para descifrar el texto. No es necesario tener la seguridad pública, debido a que las necesidades de clave pública que se transmiten a través de la red, puede resolver el problema del intercambio de claves de cifrado asimétrico. Sitio web mantiene privado en Internet cualquier distribución pública, siempre y cuando usted quiere visitar el sitio web de cifrado con el público en la línea, el texto cifrado sólo puede ser descifrado por el titular de la clave privada. *** Y debido a que no hay una clave privada, por lo que no se puede descifrar el texto cifrado.

• (No vamos a discutir el cifrado específico) el diseño de algoritmos simétricos es mucho más difícil que los algoritmos de cifrado asimétrico, como el DH común, DSA, RSA, ECC y así sucesivamente.

• algoritmo de cifrado RSA, que es el más importante, el más famoso. Por ejemplo DHE_RSA_CAMELLIA128_GCM_SHA256. Su seguridad se basa en factorización de enteros, usando el producto de dos números primos grandes generados como material de la clave, la clave privada es muy difícil querer deducida a partir de la clave pública.

• ECC (Criptografía de Curva Elíptica) es un algoritmo de cifrado asimétrico, que es el logaritmo discreto de problemas matemáticos basados ​​en curva elíptica, y una ecuación de la curva usando el público generación punto base específica y claves privadas, ECDHE utiliza para el intercambio de claves, para la ECDSA firmas digitales.

• confidencialidad TLS se consigue utilizando cifrado simétrico y el cifrado híbrido cifrado asimétrico.

El cifrado híbrido

RSA velocidad de cálculo es muy lento, y la velocidad de cifrado AES es más rápido, y está utilizando este cifrado TLS híbrido. Al utilizar algoritmos asimétricos en el comienzo de la comunicación, tales como RSA, ECDHE, primero resolver el problema del intercambio de claves. A continuación, genera una clave de sesión (clave de sesión) con un algoritmo simétrico usando el número aleatorio, entonces el cifrado de clave pública. Llegar al otro lado descifra el texto cifrado con la clave privada, la clave de sesión eliminado. De esta manera, las dos partes para lograr un intercambio seguro de claves simétricas.

Ahora usamos la codificación en modo mixto para lograr la confidencialidad, no es capaz de asegurar la transmisión de datos a cabo? Insuficientes, además de las características de integridad, autenticación en la base de la confidencialidad, a fin de lograr una seguridad real. Los principales medios para lograr la integridad es un resumen del algoritmo (Digest Algorithm)

digest Algorithm

• ¿Cómo lograr la integridad de la misma? En TLS, los principales medios para lograr la integridad algoritmo de resumen (Digest Algorithm). Si usted no sabe digerir algoritmo MD5 que debe ser clara, MD5 significa algoritmo Message Digest 5, pertenece al algoritmo hash de la contraseña (algoritmo de hash criptográfica) A, MD5 se puede utilizar para crear un personajes a 128 bits de una cadena de cualquier longitud Chuanzi.
• A pesar de la inseguridad MD5, pero todavía está en uso hoy en día. MD5 es más comúnmente utilizado para verificar la integridad del archivo. Sin embargo, también se utiliza para otros protocolos y aplicaciones de seguridad, tales como SSH, SSL e IPSec. Algunas aplicaciones de valor o más sal a la función hash de texto plano se aplica para mejorar el algoritmo MD5.

¿Cuál es la sal? En la criptografía, la sal es una, de una vía de datos aleatorios función se utiliza como datos de entrada adicionales un hash de la contraseña o contraseñas. Sales para la protección de almacenar contraseñas. por ejemplo

¿Cuál es el camino? En este algoritmo se dice que ninguna tecla puede ser descifrado solamente ser cifrado de una vía, los datos encriptados no pueden ser desencriptados, no contra la introducción de la original.

Volvemos a discutir algoritmo de resumen, en realidad se puede digerir algoritmo de entenderse como un tipo especial de algoritmo de compresión, es capaz de comprimir los datos de cualquier longitud en una cadena de longitud fija, que parece añadir un puñado de datos bloquee.

• Además del algoritmo de cifrado externo que se utiliza comúnmente es MD5, SHA-1 (Secure Hash Algorithm 1) también es un algoritmo de cifrado común, el algoritmo de cifrado SHA-1 pero inseguros, que están prohibidos en TLS. TLS se recomienda actualmente para su uso SHA-1 sucesor: SHA-2.

• SHA-2 es el nombre completo de la Secure Hash Algorithm 2, que fue lanzado en 2001, que hizo cambios significativos en la base de la SHA-1, SHA-2 serie incluye seis función hash, un resumen (hash) 224 256 384 o 512, respectivamente: el SHA-224, el SHA-256, el SHA-384, el SHA-512 . Ellos fueron capaces de generar 28 bytes, 32 bytes, 48 bytes, 64 bytes digerir.

• Con la protección SHA-2, integridad de los datos se puede lograr, incluso si cambia una coma en un archivo, agregar un espacio, el resumen del archivo resultante será completamente diferente, pero SHA-2 está basado en el cifrado de texto plano, no es suficiente la seguridad, debería ser qué sirve?

• cifrado de seguridad más alto es el uso de HMAC, para entender lo que está en HMAC frontal, lo que necesita saber cuál es el MAC.

• MAC significa código de autenticación de mensaje, que se genera a partir del mensaje por el algoritmo de MAC y la clave, permitiendo que el verificador valor MAC (también posee la clave secreta) para detectar cualquier cambio en el contenido del mensaje, protegiendo así la integridad de los datos del mensaje.

• HMAC es una mayor expansión MAC, que es el valor de la utilización de combinaciones de valor MAC + Hash calculado HMAC se puede usar en cualquier función hash criptográfica, tal como SHA-256 y similares.

Ahora hemos resuelto el problema de la integridad, a continuación, sólo hay una pregunta, y es así como la certificación, la certificación de hacerlo? Estamos enviando datos al servidor, *** (*** persona) puede estar enmascarada por cualquiera de las partes para robar información. Puede hacerse pasar por usted, para enviar información al servidor, el servidor también puede hacer referencia a camuflaje, para recibir la información que envía. Entonces, ¿cómo resolver este problema?

Autenticar

Cómo determinar su propia singularidad que? Nos presentamos en el proceso de cifrado de clave pública se ha descrito anteriormente, la clave privada para descifrar el concepto. La clave privada es el único que menciona todo, capaz de distinguir único, por lo que podemos pedir que la incorporen a la encriptación de clave privada, la clave pública para descifrar. Junto con el uso de una clave privada algoritmo de resumen, es posible implementar la firma digital, con el fin de obtener la certificación.

Hasta ahora, el uso integrado de cifrado simétrico, cifrado asimétrico y algoritmo de resumen, hemos puesto en marcha la encriptación, autenticación de datos, certificación , no es para asegurarlo? No, aquí también hay un problema de firma digital certificada . Debido a que la clave privada es su propia, cualquiera puede publicar una clave pública, debe publicar una clave pública certificada, la clave pública para resolver el problema de la confianza.

Por lo que la introducción de CA, CA es sinónimo de autoridad de certificación, la autoridad de certificación, usted tiene que dejar CA pública certificada ha promulgado, con el fin de resolver el problema clave pública de confianza.

CA ha certificado el mundo en varias fueron promulgadas DV, OV, EV son tres diferencia es la credibilidad. DV es la más baja, solamente la credibilidad de nivel de dominio, EV es el más alto, después de legal y de auditoría de la verificación estricta, para probar la identidad del propietario del sitio (en la barra de direcciones del navegador mostrará el nombre de la empresa, tales como Apple, GitHub sitio web). Formando una jerarquía de diferentes niveles de confianza institucional en conjunto.

• Normalmente, los solicitantes generaron clave pública del certificado digital y una clave y una petición de certificado de firma privada (RSE) que consiste en pares. La RSE es un archivo de texto codificado que contiene una clave pública y otra información (como el nombre de dominio, organización, dirección de correo electrónico, etc.) será incluido en el certificado.
• RSE se genera normalmente par de claves y se instalará en el certificado del servidor se ha completado, y el tipo de información contenida en la RSE depende del nivel de los certificados de autenticación. Con diferentes clave pública, la clave privada del solicitante para estar seguro, nunca muestran CA (o cualquier otro).

Después de generar el CSR, el solicitante enviará a la CA, CA verificará la información que contiene es correcta, si es correcta, utilice el certificado de clave privada emitida para firmar digitalmente y luego enviarlo al solicitante.

resumen

Este artículo se centra en qué vamos a HTTPS, HTTPS resuelve el problema de HTTP, HTTPS y HTTP nada que ver con eso, lo TLS y SSL, TLS y SSL para resolver el problema? ¿Cómo lograr una transmisión de datos realmente segura?

El artículo no es fácil, si te gusto este artículo, o para ayuda que espera mucha atención Oh pulgares hacia adelante. Los artículos serán actualizados continuamente. Absolutamente seco! ! !