-
http是以明文传输的,所以要保证安全就要给明文加密,所以就有了HTTPS
-
https的加密步骤解析:
- 首先要有一个秘钥去加密传输的内容,把它命名为秘钥X;
- 所以,客户端在传输加密的明文之前要把秘钥X也传给服务器
- 那么问题来了,X也需要加密,不然,黑客也能获取到秘钥X,难道继续给X加密的秘钥继续加密吗,这开始套娃了;
- 所以,解决办法是,在客户端想服务器发出HTTPS请求的时候,服务器发给客户端一个公钥,然后客户端拿到这个公钥,给X加密,然后传给服务器,服务器拿到这个之后,通过本地的私钥解开加密,获取秘钥X,到这里,秘钥X就在客户端和服务器都存在了
- 走到这里,有出现了新的问题,中间人攻击(在第一步,服务器发给客户端公钥的时候,中间人获取到了这个公钥,然后中间人伪造了一个公钥继续发给客户端,然后,客户端也不知道,就认为是OK的,然后把用假公钥加密的秘钥X发了出去,然后中间人就获得了秘钥X,所以不是不安全的);
- 怎么解决呢:这个时候就有了一个机构CA,服务器可以向CA申请CA证书
- 服务器在给客户端传输公钥的过程中,会把公钥以及服务器的个人信息通过Hash算法生成信息摘要
为了防止信息摘要被人调换,服务器还会用CA提供的私钥对信息摘要进行加密来形成数字签名。
并且,最后还会把原来没Hash算法之前的个人信息以及公钥 和 数字签名合并在一起,形成数字证书
当客户端拿到这份数字证书之后,就会用CA提供的公钥来对数字证书里面的数字签名进行解密来得到信息摘要,然后对数字证书里服务器的公钥以及个人信息进行Hash得到另外一份信息摘要。最后把两份信息摘要进行对比,如果一样,则证明这个人是服务器,否则就不是。
域名劫持又称DNS劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应。
原理:
由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP
