详解互联网基石之HTTPS

2024-06-22 15:36
文章标签 详解 https 互联网 基石

本文主要是介绍详解互联网基石之HTTPS,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

58a083f5cd513dca6e8367cb783f5293.png

一、HTTPS简介

HTTPS(HyperText Transfer Protocol Secure)是一种用于安全通信的网络传输协议。它是HTTP的加密版本,通过使用TLS(Transport Layer Security)或其前身SSL(Secure Sockets Layer)来加密通信内容。

主要特点包括:
  1. 数据加密:HTTPS使用加密算法对通信内容进行加密,这样即使被拦截,也无法轻易解读其中的信息。

  2. 身份验证:HTTPS确保通信的两端(客户端和服务器)是可信的,这通过数字证书来实现。服务器必须拥有有效的证书,以证明其身份。

  3. 数据完整性:通过消息认证码(MAC)或哈希函数,HTTPS可以防止通信被篡改。接收方可以验证收到的数据是否与发送方发送的数据完全一致。

  4. SEO优化:搜索引擎如Google已将HTTPS加密作为搜索排名的一个重要因素,鼓励网站采用HTTPS以提升安全性和信任度。

使用HTTPS可以有效防止很多网络攻击,如中间人攻击、数据窃听和数据篡改。现今,大多数网站已经采用HTTPS来保护用户数据和隐私,使得互联网上的信息传输更为安全可靠。

二、HTTPS发展历史

HTTPS的发展历史可以追溯到早期互联网对安全需求的不断增长。以下是HTTPS从诞生到现今的关键发展历程:

1. 早期背景

1990年代初期:安全需求的出现
  • 随着互联网的普及,尤其是电子商务和在线支付系统的兴起,对数据传输的安全性需求日益增长。

  • HTTP(Hypertext Transfer Protocol)作为基础的网络通信协议,没有提供数据加密和身份验证机制。

2. SSL协议的诞生

1994年:Netscape引入SSL 1.0
  • Netscape Communications开发了SSL(Secure Sockets Layer)协议,用于加密和保护互联网通信。

  • SSL 1.0从未公开发布,因为它存在严重的安全漏洞。

1995年:SSL 2.0发布
  • Netscape发布了SSL 2.0,这是第一个公开使用的版本,但仍然存在一些安全缺陷。

1996年:SSL 3.0发布
  • SSL 3.0对之前版本进行了重大改进,修复了许多安全漏洞,成为广泛采用的标准。

3. TLS协议的演变

1999年:TLS 1.0发布
  • IETF(Internet Engineering Task Force)基于SSL 3.0开发并发布了TLS(Transport Layer Security)1.0。

  • TLS 1.0包含了更强的加密算法和改进的安全特性。

2006年:TLS 1.1发布
  • 增强了抗密码攻击的能力,改进了数据完整性检查机制。

2008年:TLS 1.2发布
  • 引入了新的哈希函数和加密算法,使协议更安全、更高效。

2018年:TLS 1.3发布
  • 大幅改进了握手过程,减少了延迟,进一步提高了安全性和性能。

4. HTTPS的普及

2000年代:逐步采用
  • 大多数大型网站逐步采用HTTPS保护用户数据,特别是涉及金融和个人隐私信息的网站。

2010年代:广泛推广
  • 电子商务、社交媒体和云服务的大量普及,推动了HTTPS的广泛采用。

  • Google、Mozilla等浏览器开发商开始推动HTTPS的使用,通过标记HTTP网站为“不安全”来鼓励网站向HTTPS迁移。

2014年:Let's Encrypt成立
  • Let's Encrypt是一个免费、自动化、开放的证书颁发机构,极大地降低了获取和部署SSL/TLS证书的门槛。

  • 大幅推动了HTTPS的普及,使得越来越多的网站能够采用加密通信。

2017年:浏览器强制HTTPS
  • Chrome、Firefox等主要浏览器开始对未采用HTTPS的网站显示“不安全”警告,进一步推动了网站向HTTPS迁移。

5. 未来展望

  • 随着对互联网安全需求的不断增加,HTTPS将继续演变和发展。

  • 未来可能会引入更多先进的加密技术和安全机制,进一步提升数据传输的安全性和效率。

关键时间线概述

  1. 1994年 - Netscape引入SSL 1.0(未公开发布)。

  2. 1995年 - SSL 2.0发布。

  3. 1996年 - SSL 3.0发布。

  4. 1999年 - TLS 1.0发布。

  5. 2006年 - TLS 1.1发布。

  6. 2008年 - TLS 1.2发布。

  7. 2014年 - Let's Encrypt成立。

  8. 2018年 - TLS 1.3发布。

通过这些关键节点,HTTPS从一个初步的安全协议发展成为现代互联网通信的基石,保障了数十亿用户的数据安全和隐私。

三、HTTPS通信流程

以下下将通过图形和文字详细描述HTTPS通信过程。图形部分将在解释文字后附上。

1. 客户端发起HTTPS请求
  • 用户在浏览器中输入URL(例如:https://example.com)。

  • 浏览器向目标服务器发出HTTPS连接请求。

2. 服务器响应并发送证书
  • 服务器接收到请求后,将包含公钥的数字证书发送给客户端。

  • 数字证书由可信的证书颁发机构(CA)签名,并包含服务器的公钥、证书颁发者的信息及有效期等。

3. 客户端验证证书
  • 客户端使用内置的受信任证书颁发机构列表,验证服务器的数字证书。

  • 验证过程包括检查证书的签名、证书链、有效期等。

  • 如果证书有效且可信,继续进行后续步骤;否则,客户端会警告用户,提示可能存在安全风险。

4. 生成对称密钥并加密传输
  • 客户端生成一个随机的对称密钥(会话密钥)。

  • 使用服务器的公钥加密该会话密钥,并将其发送给服务器。

5. 服务器解密会话密钥
  • 服务器使用自己的私钥解密会话密钥。

  • 双方使用该对称密钥进行后续的数据加密传输。

6. 加密通信
  • 双方使用协商好的对称密钥对后续的数据进行加密传输,确保数据的保密性和完整性。

  • 在加密连接建立后,浏览器和服务器之间的通信都是加密的。

7. 数据传输和会话结束
  • 在加密连接下,客户端和服务器进行安全的数据传输。

  • 当通信结束后,双方可以终止加密会话,关闭连接。

图形表示

1. 客户端请求HTTPS连接
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||   HTTPS Request                                           ||---------------------------------------------------------->||                                                           |2. 服务器响应并发送证书
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||<----------------------------------------------------------||  Server Certificate                                        ||                                                           |3. 客户端验证证书
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||  Verify Certificate                                       ||---------------------------------------------------------->||                                                           |4. 生成对称密钥并加密传输
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||  Generate Session Key                                     ||  Encrypt with Server's Public Key                         ||                                                           ||<----------------------------------------------------------||  Encrypted Session Key                                     ||                                                           |5. 服务器解密会话密钥
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||  Decrypt Session Key                                      ||                                                           ||---------------------------------------------------------->||                                                           |6. 加密通信
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||  Secure Communication                                     ||  (Encrypted Data)                                         ||<--------------------------------------------------------->||                                                           |7. 数据传输和会话结束
+----------------+                                          +------------------+
|  Client        |                                          |  Server          |
|  (Browser)     |                                          |  (Website)       |
+----------------+                                          +------------------+|                                                           ||  End Session                                              ||                                                           ||---------------------------------------------------------->||                                                           |

通过这个过程,HTTPS确保了客户端和服务器之间的通信是加密的、安全的,并且验证了服务器的身份,防止中间人攻击和数据窃取。

四、https证书免费申请方式汇总

有几种方法可以免费申请HTTPS证书,以下是一些最受欢迎和常用的免费证书颁发机构(CA)和平台:

1. Let's Encrypt

简介

Let's Encrypt 是一个提供免费 SSL/TLS 证书的证书颁发机构。它通过自动化的方式使得网站能够轻松获得和更新证书。

特点
  • 免费:完全免费使用。

  • 自动化:支持自动化工具(如Certbot)来申请、安装和续期证书。

  • 广泛支持:被大多数浏览器和操作系统信任。

  • 社区支持:拥有庞大的用户社区和丰富的文档资源。

申请步骤
  1. 安装 Certbot:Certbot 是一个广泛使用的自动化工具,用于与 Let's Encrypt 通信并处理证书的申请和安装。

  2. 运行 Certbot:通过运行适当的 Certbot 命令来申请证书,Certbot 会自动完成验证过程并安装证书。

  3. 设置自动续期:Certbot 可以自动安排任务来定期检查并续期证书,确保网站始终使用有效的证书。

2. ZeroSSL

简介

ZeroSSL 提供免费和付费的 SSL 证书服务,可以通过简单的在线申请获得证书。

特点
  • 免费计划:提供 90 天有效期的免费证书。

  • 用户友好:易于使用的在线界面,可以手动申请和管理证书。

  • API 支持:提供 API 来自动化证书申请和管理。

申请步骤
  1. 注册账号:访问 ZeroSSL 网站并注册一个免费账号。

  2. 申请证书:通过在线界面或 API 申请一个免费的 SSL 证书。

  3. 验证域名:完成域名验证(DNS 验证、文件验证等)。

  4. 下载和安装证书:在验证成功后下载证书并安装到服务器。

3. Cloudflare

简介

Cloudflare 是一家提供网络安全和内容分发网络(CDN)服务的公司,它提供免费 SSL 证书作为其免费计划的一部分。

特点
  • 免费计划:所有 Cloudflare 用户,包括免费计划用户,都可以获得免费 SSL 证书。

  • CDN 集成:SSL 证书与 Cloudflare 的 CDN 服务集成,提高网站性能和安全性。

  • 易于设置:通过简单的 DNS 配置和 Cloudflare 仪表板即可启用。

申请步骤
  1. 注册 Cloudflare 账号:访问 Cloudflare 网站并注册一个免费账号。

  2. 添加网站:将你的网站添加到 Cloudflare,完成 DNS 配置。

  3. 启用 SSL:在 Cloudflare 仪表板中启用 SSL,选择适当的 SSL 模式(如“完全加密”)。

4. SSL For Free

简介

SSL For Free 使用 Let's Encrypt 提供的服务,通过简单的在线界面帮助用户获取免费 SSL 证书。

特点
  • 免费:完全免费使用。

  • 简便:通过用户友好的界面申请和管理证书。

  • Let's Encrypt 支持:依托 Let's Encrypt 进行证书颁发和管理。

申请步骤
  1. 访问网站:进入 SSL For Free 网站。

  2. 申请证书:输入你的网站域名,选择验证方式(如 DNS 验证或文件验证)。

  3. 完成验证:按照指示完成域名验证。

  4. 下载证书:验证成功后下载证书并安装到服务器。

总结

这些免费证书颁发机构和平台提供了简便、快捷的方法来获取和管理 HTTPS 证书,帮助网站提升安全性并建立用户信任。选择哪种方式取决于你的具体需求和技术背景,无论是自动化程度、易用性还是集成服务,都有适合的方案。

五、付费权威https证书颁发机构汇总

付费的权威 HTTPS 证书颁发机构(CA)提供更高级别的验证、额外的功能和更高的信任度,这些对于企业和需要高级安全保障的网站尤为重要。以下是一些著名的付费证书颁发机构:

1. DigiCert

简介

DigiCert 是全球领先的证书颁发机构,提供多种 SSL/TLS 证书和其他安全解决方案。

特点
  • 高级验证:提供域名验证(DV)、企业验证(OV)和扩展验证(EV)证书。

  • 快速验证和签发:通常能够在较短时间内完成证书签发。

  • 高兼容性:被几乎所有的浏览器和操作系统信任。

  • 额外服务:包括证书管理工具、恶意软件扫描等。

2. Sectigo(原Comodo CA)

简介

Sectigo 是全球最大且最受信任的证书颁发机构之一,前身为 Comodo CA,提供广泛的证书选择。

特点
  • 多样化产品:提供从基础到高级的各种证书,包括 DV、OV、EV 证书,以及多域名和通配符证书。

  • 竞争性价格:提供具有竞争力的价格,适合各种规模的企业。

  • 附加功能:包括网站安全保障、恶意软件扫描、每日网站备份等。

3. GlobalSign

简介

GlobalSign 是一家全球性的证书颁发机构,提供广泛的 SSL/TLS 证书和其他身份验证服务。

特点
  • 企业级解决方案:适合大型企业的高安全性需求。

  • 灵活性:提供各种类型的证书,包括通配符和多域名证书。

  • 自动化工具:提供自动化证书管理和部署工具,简化证书生命周期管理。

4. Entrust

简介

Entrust 提供高质量的 SSL/TLS 证书以及其他网络安全解决方案,致力于保护数字交易和身份验证。

特点
  • 高信任度:提供顶级的安全和信任服务,被广泛接受和信任。

  • 多种证书类型:包括标准 SSL 证书、EV 证书和多域名证书。

  • 附加服务:包括证书管理、身份验证和云安全解决方案。

5. Symantec(现 NortonLifeLock)

简介

Symantec 是著名的网络安全公司,其证书业务已被 DigiCert 收购,但仍以 NortonLifeLock 品牌继续提供 SSL 证书。

特点
  • 高信誉度:Symantec 的品牌在安全领域拥有极高的信誉。

  • 高级安全特性:包括 Norton Secured Seal、恶意软件扫描、漏洞评估等。

  • 广泛信任:被所有主要浏览器和操作系统信任。

6. GeoTrust

简介

GeoTrust 是 DigiCert 旗下的品牌之一,提供中端市场的 SSL/TLS 证书,兼具高性价比和高信任度。

特点
  • 性价比高:提供具有竞争力的价格,适合中小型企业。

  • 多种选择:提供 DV、OV、EV 证书,以及多域名和通配符证书。

  • 易于管理:提供简单的证书管理工具,方便企业使用。

7. Thawte

简介

Thawte 是全球知名的证书颁发机构之一,其证书产品适用于各种规模的企业和组织。

特点
  • 可靠性:提供高可靠性的 SSL/TLS 证书,兼具安全性和信任度。

  • 全球认可:被全球范围内的浏览器和操作系统信任。

  • 多样化产品:提供从基础到高级的各种证书,满足不同需求。

总结

这些付费证书颁发机构在行业内具有很高的信任度和广泛的兼容性,提供的证书不仅能满足基本的安全需求,还能提供额外的安全服务和管理工具,适合对安全性有较高要求的企业和组织。选择合适的证书颁发机构取决于企业的具体需求、预算以及所需的安全级别。

六、常见负载均衡如何配置https证书

在现代网络架构中,负载均衡器(Load Balancer)是用于分发网络流量的关键组件。为了确保安全通信,负载均衡器通常需要配置 HTTPS 证书。以下是一些常见的负载均衡器配置 HTTPS 证书的示例,包括硬件负载均衡器和云提供商的负载均衡服务。

1. Nginx 作为负载均衡器

步骤
  1. 安装 Nginx: 安装 Nginx,通常在 Linux 系统上通过包管理器进行安装。

    sudo apt-get update
    sudo apt-get install nginx
  2. 获取 SSL 证书: 可以使用 Let’s Encrypt 获取免费证书。

    sudo apt-get install certbot python3-certbot-nginx
    sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
  3. 配置 Nginx: 编辑 Nginx 配置文件 /etc/nginx/nginx.conf/etc/nginx/sites-available/default

    http {upstream backend {server backend1.example.com;server backend2.example.com;}server {listen 80;server_name yourdomain.com www.yourdomain.com;location / {return 301 https://$host$request_uri;}}server {listen 443 ssl;server_name yourdomain.com www.yourdomain.com;ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;location / {proxy_pass http://backend;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;}}
    }
    ```
  4. 重启 Nginx

    sudo systemctl restart nginx

2. AWS Elastic Load Balancer (ELB)

步骤
  1. 创建并上传 SSL 证书: 使用 AWS Certificate Manager (ACM) 申请或上传证书。

  2. 配置 ELB

  • 登录 AWS 管理控制台,导航到 EC2 服务。

  • 选择“Load Balancers”,点击“Create Load Balancer”。

  • 选择“Application Load Balancer”或“Network Load Balancer”。

  • 配置基本设置,选择 VPC 和子网。

  • 在“Listeners and Routing”部分,添加 HTTPS 监听器。

  • 选择 ACM 中的 SSL 证书或上传自己的证书。

配置安全组: 确保负载均衡器的安全组允许 443 端口的入站流量。

配置目标组

  • 创建目标组,添加实例或 IP 地址。

  • 配置健康检查路径。

完成创建并测试: 完成负载均衡器的创建,确保 HTTPS 流量能够正确分发到后端实例。

3. HAProxy 作为负载均衡器

步骤
  1. 安装 HAProxy

    sudo apt-get update
    sudo apt-get install haproxy
  2. 获取 SSL 证书: 使用 Let’s Encrypt 获取免费证书。

    sudo apt-get install certbot
    sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com
  3. 配置 HAProxy: 编辑 HAProxy 配置文件 /etc/haproxy/haproxy.cfg

    frontend https_frontbind *:443 ssl crt /etc/letsencrypt/live/yourdomain.com/fullchain.pem crt /etc/letsencrypt/live/yourdomain.com/privkey.pemmode httpdefault_backend serversbackend serversmode httpbalance roundrobinserver server1 backend1.example.com:80 checkserver server2 backend2.example.com:80 check
  4. 重启 HAProxy

    sudo systemctl restart haproxy

4. Google Cloud Load Balancer

步骤
  1. 创建并上传 SSL 证书: 使用 Google Cloud Console 申请或上传证书。

  2. 配置负载均衡器

  • 登录 Google Cloud Console,导航到“Network services” -> “Load balancing”。

  • 点击“Create load balancer”,选择“HTTP(S) Load Balancing”。

  • 配置负载均衡器的基本设置,添加前端配置。

  • 添加 HTTPS 协议并选择上传的证书。

配置后端服务: 创建或选择现有的后端服务,添加实例组或 GKE 集群。

测试和验证: 完成配置后,确保 HTTPS 流量能够正确分发到后端服务。

通过这些示例,可以看到不同的负载均衡器如何配置 HTTPS 证书来确保安全的通信。选择适合你的架构和需求的负载均衡器和配置方法尤为重要。

就这样。

201997f0c8981bc0bf9ad71227de209c.png

希望对您有用!关注锅总,可及时获得更多花里胡哨的运维实用操作!

这篇关于详解互联网基石之HTTPS的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1084700

相关文章

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

嵌入式Openharmony系统构建与启动详解

大家好,今天主要给大家分享一下,如何构建Openharmony子系统以及系统的启动过程分解。 第一:OpenHarmony系统构建      首先熟悉一下,构建系统是一种自动化处理工具的集合,通过将源代码文件进行一系列处理,最终生成和用户可以使用的目标文件。这里的目标文件包括静态链接库文件、动态链接库文件、可执行文件、脚本文件、配置文件等。      我们在编写hellowor

LabVIEW FIFO详解

在LabVIEW的FPGA开发中,FIFO(先入先出队列)是常用的数据传输机制。通过配置FIFO的属性,工程师可以在FPGA和主机之间,或不同FPGA VIs之间进行高效的数据传输。根据具体需求,FIFO有多种类型与实现方式,包括目标范围内FIFO(Target-Scoped)、DMA FIFO以及点对点流(Peer-to-Peer)。 FIFO类型 **目标范围FIFO(Target-Sc

019、JOptionPane类的常用静态方法详解

目录 JOptionPane类的常用静态方法详解 1. showInputDialog()方法 1.1基本用法 1.2带有默认值的输入框 1.3带有选项的输入对话框 1.4自定义图标的输入对话框 2. showConfirmDialog()方法 2.1基本用法 2.2自定义按钮和图标 2.3带有自定义组件的确认对话框 3. showMessageDialog()方法 3.1

脏页的标记方式详解

脏页的标记方式 一、引言 在数据库系统中,脏页是指那些被修改过但还未写入磁盘的数据页。为了有效地管理这些脏页并确保数据的一致性,数据库需要对脏页进行标记。了解脏页的标记方式对于理解数据库的内部工作机制和优化性能至关重要。 二、脏页产生的过程 当数据库中的数据被修改时,这些修改首先会在内存中的缓冲池(Buffer Pool)中进行。例如,执行一条 UPDATE 语句修改了某一行数据,对应的缓

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法   消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法 [转载]原地址:http://blog.csdn.net/x605940745/article/details/17911115 消除SDK更新时的“

OmniGlue论文详解(特征匹配)

OmniGlue论文详解(特征匹配) 摘要1. 引言2. 相关工作2.1. 广义局部特征匹配2.2. 稀疏可学习匹配2.3. 半稠密可学习匹配2.4. 与其他图像表示匹配 3. OmniGlue3.1. 模型概述3.2. OmniGlue 细节3.2.1. 特征提取3.2.2. 利用DINOv2构建图形。3.2.3. 信息传播与新的指导3.2.4. 匹配层和损失函数3.2.5. 与Super