版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 大型网站HTTPS建设方案DBAplus社群 微信号 dbaplus功能介绍 围绕数据库、大数据、PaaS云,顶级大咖、技术干货,运营几个月受众过十万!成为运维圈最专注围绕“数据”的学习交流和专业社群!欢迎投稿,加入探讨。一、HTTPS简介HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTP协议传输的数据是未加密的明文,因此使用HTTP协议传输隐私信息非常不安全。为了保证隐私数据能加密传输,网景公司设计了SSL(Secure Sockets Layer)协
2、议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SSL 3.0进行了升级,于是出现了TLS(Transport Layer Security) 1.0,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议,但是由于SSL出现的时间比较早,并且依旧被现在浏览器所支持,因此SSL依然是HTTPS的代名词,但无论是TLS还是SSL都是上个世纪的事情,SSL最后一个版本是3.0,今后TLS将会继承SSL优良血统继续为我们进行加密服
3、务。目前TLS的版本是1.2,定义在RFC 5246中,暂时还没有被广泛的使用。但是网站使用了HTTPS加密之后,有朋友提出使用F12还能看到用户名密码,例如:这是因为HTTPS(SSL)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。及时数据在传输过程中被抓包,由于是加密数据也难以破解,从而保护数据在传输过程中的安全性。其实除HTTPS加密之外,还有控件加密,用户需要下载安全控件才能输入密码,这在银行系统,支付宝页面都会经常遇
4、到:通过加密控件可以解决在应用层的http post的明文密码。二、HTTPS的工作原理HTTPS是有两部分组成:HTTP +SSL/ TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密、解密、验证的,且看下图:1.客户端发起HTTPS请求首先客户端发起一个HTTPS的请求给服务器端,并且将浏览器自己支持的一套加密规则一起发送给服务端。2.服务端证书配置采用HTTPS协议的服务器端要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访
5、问,而使用受信任的公司申请的证书一般不会弹出提示页面。这套证书其实就是一对公钥和私钥。一般情况下可以快速申请免费的ssl证书,而尽量避免自己生产证书。服务端接收到客户端的HTTPS请求后,会选择出一种加密算法和HASH算法,以证书的形式返回给客户端,证书还包含了公钥、颁证机构、网址、失效日期等信息。3.传送证书服务器端将证书信息传送会客户端。4.客户端解析证书这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随即值。然后用证书对该随机值进行加密,一般证书验证通过后,在浏览
6、器的地址栏会加上一把小锁。5.传送加密信息这部分传送的是客户端用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密。6.服务端解密信息服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够复杂,私钥够复杂,数据就够安全。7.传输加密后的信息这部分信息是服务端用私钥加密后的信息,可以在客户端被还原。8.客户端解密信息客户端用之前生成的私钥解密服务端传过来的信息,
7、获取了解密后的内容。因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截、数据被抓包也是没法解密数据的,以此保证了通信的安全。三、SSL证书选择指南SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。CA机构颁发的证书有3种类型:域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站。企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高。增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。此外还可以自
8、动生成自签名证书,自签名证书一般不会被浏览器验证通过,所以很少在生产环境中出现,一般在内部测试环境经常用到。一般情况下不同的证书,认证等级、显示图标不同,在域名的支持下、价格、保额费用上也不同:SSL证书厂商的选择这里不再做过多推荐,总的原则是越大的厂商越可靠。选择的厂商一定要提前调查好是否被信任。 如之前的沃通事件就导致很多公司联系沃通更换新证书后才被浏览器继续信任。四、部署网站HTTPS正式购买后如何不是证书到网站,实现HTTPS访问呢?首先在购买证书的时候,证书厂商都会在其帮助文档中详述证书部署指南,一般来说按照帮助文档一步一步部署即可。一般会有Apache、IIS、Nginx、Tomc
9、at等多种部署方式,这里以Nginx为例做简单介绍。首先是证书的申请和下载。作者个人自己网站的正式是通过腾讯云提供的免费SSL正式申请服务申请的:下载后如下:在Nginx的部署目录下的conf下建立sslkey文件夹,将上述下载后的Nginx文件下的1_bundle.crt 和2_.key两个文件上传到sslkey中。修改nginx.conf文件,按照腾讯云帮助文档操作即可。这里需要注意,一般证书部署后,需要设置一些http自动跳转到https,这一般在帮助文档中不会有。可以采用以下几种方式:rewrite的方式:rewrite(.*)$https:/$host$1permanent;nginx的497状态码:error_page497https:/$host$uri?$args;首页的meta的刷新: (未实践过)我们这里采用了proxy_redirect的方式,在nginx中配置:proxy_redirect :443/ /;实现自动跳转至https。五、总结HTTP转HTTPS是趋势,技术也相对比较成熟。但是使用HT
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 教师如何激发学生对数学学习的兴趣
- 《修改DIY饰品坊》课件
- 医院财务自纠报告范文
- 影像学诊断儿童肝胆疾病
- 2025年西安货运从业资格证模拟考试下载什么软件
- 2025年遵义货车从业资格证考什么
- 教师硬笔书法培训讲座
- 2025年安徽货运从业资格证技巧
- 《故宫博物院公开》课件
- 《鱼类的营养价值》课件
- 《蛋糕裱花必修技术》PPT完整版
- SHT39032017监理规范表格(中文版)
- 铃兰花节专题讲座
- 社会组织服务管理工作的思考
- 完整解读中华人民共和国政府信息公开条例课件
- 收款账户确认书四篇
- 浙江高考语文材料作文分类训练:传统美德类
- GB/T 4336-2016碳素钢和中低合金钢多元素含量的测定火花放电原子发射光谱法(常规法)
- 理性作文600字合集九篇
- 传感器与检测系统信号处理技术
- 爆破警戒管理
评论
0/150
提交评论