深入理解SSL協(xié)議:從理論到實(shí)踐
前言
這是一篇關(guān)于SSL協(xié)議的技術(shù)文章,有理論知識(shí),但又兼具一定的實(shí)戰(zhàn)性,文章的主要內(nèi)容分享了SSL協(xié)議的核心概念、工作原理、常見的應(yīng)用場景,以及就https這種實(shí)際應(yīng)用場景,又著重分享具體的工作原理以及如何實(shí)現(xiàn)https訪問網(wǎng)站。無論你是信息安全技術(shù)的初學(xué)者,還是專業(yè)人士,相信這篇文章都能給你帶來一些幫助或啟示。如果有失誤之處,煩請(qǐng)?jiān)谠u(píng)論區(qū)指出,以便共同成長和進(jìn)步。
什么是SSL
SSL(Secure Sockets Layer)是一種用于在網(wǎng)絡(luò)上保護(hù)信息安全的標(biāo)準(zhǔn)安全技術(shù)。它通過對(duì)網(wǎng)絡(luò)連接進(jìn)行加密來確保數(shù)據(jù)在客戶端和服務(wù)器之間的安全傳輸。SSL協(xié)議使用了非對(duì)稱加密和對(duì)稱加密技術(shù),可以防止數(shù)據(jù)在傳輸過程中被竊取或篡改。SSL主要用于保護(hù)網(wǎng)站上的敏感信息,如個(gè)人信息、信用卡信息等。在現(xiàn)代網(wǎng)絡(luò)通信中,SSL已經(jīng)被其后繼標(biāo)準(zhǔn)TLS(Transport Layer Security)所取代,但是通常情況下人們?nèi)匀环Q之為SSL。
SSL的工作原理
上面的概念性描述中提到了兩個(gè)關(guān)鍵:第一個(gè):SSL是一種保護(hù)信息安全的技術(shù)標(biāo)準(zhǔn);第二個(gè):SSL使用了對(duì)稱加密技術(shù)和非對(duì)稱加密的技術(shù);具體來講SSL的工作原理涉及下面三個(gè)關(guān)鍵步驟:
- 握手階段:客戶端發(fā)起與服務(wù)器的連接請(qǐng)求,服務(wù)器會(huì)返回其SSL證書。客戶端驗(yàn)證證書的有效性,并生成一個(gè)預(yù)主密鑰,再用服務(wù)器的公鑰加密后發(fā)送給服務(wù)器。
- 密鑰協(xié)商階段:服務(wù)器接收到客戶端發(fā)送的預(yù)主密鑰后,使用自己的私鑰解密得到預(yù)主密鑰,然后雙方基于預(yù)主密鑰生成會(huì)話密鑰(對(duì)稱密鑰),用于加密通信數(shù)據(jù)。
- 數(shù)據(jù)傳輸階段:客戶端和服務(wù)器使用會(huì)話密鑰進(jìn)行加密和解密通信數(shù)據(jù),確保數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。
通過以上步驟,SSL協(xié)議實(shí)現(xiàn)了對(duì)數(shù)據(jù)的加密傳輸,防止了中間人攻擊和竊聽等安全威脅,從而保障了網(wǎng)絡(luò)通信的安全性。
關(guān)于SSL工作原理的幾個(gè)疑問
客戶端是如何驗(yàn)證服務(wù)器返回的SSL證書的有效性的?
通常客戶端具體是指瀏覽器,客戶端瀏覽器從從以下幾個(gè)方面來驗(yàn)證服務(wù)器返回的SSL證書的有效性:
- 證書鏈驗(yàn)證
客戶端首先會(huì)檢查服務(wù)器返回的SSL證書是否由受信任的證書頒發(fā)機(jī)構(gòu)(CA)簽發(fā),即驗(yàn)證證書的頒發(fā)者是否在客戶端的信任列表中。這一過程稱為證書鏈驗(yàn)證,確保服務(wù)器證書的可信任性。
- 證書有效期檢查
客戶端會(huì)驗(yàn)證證書的有效期,確保證書尚未過期。如果證書已經(jīng)過期,客戶端將不予信任。
- 主機(jī)名匹配
客戶端會(huì)檢查證書中的主機(jī)名與客戶端正在連接的服務(wù)器主機(jī)名是否匹配。這一步驟可以防止針對(duì)惡意偽造證書的中間人攻擊。
- 證書吊銷檢查
客戶端還會(huì)檢查證書頒發(fā)機(jī)構(gòu)是否已經(jīng)吊銷了服務(wù)器證書。這可以通過查詢證書頒發(fā)機(jī)構(gòu)的證書吊銷清單(CRL)或者在線證書狀態(tài)協(xié)議(OCSP)來進(jìn)行檢查。
- 可選的附加驗(yàn)證
某些情況下,客戶端還可能進(jìn)行其他附加的驗(yàn)證,如檢查證書中的擴(kuò)展字段等。
通過以上多個(gè)方面的驗(yàn)證,客戶端就可以確保服務(wù)器返回的SSL證書的有效性和可信任性,從而建立起安全的通信連接。如果證書驗(yàn)證失敗,客戶端將會(huì)發(fā)出警告或者拒絕連接,以保護(hù)數(shù)據(jù)通信的安全性。
預(yù)主密鑰是什么?會(huì)話密鑰是什么?
預(yù)主密鑰(Pre-Master Secret):
預(yù)主密鑰是在 SSL 握手的初始階段由客戶端生成的隨機(jī)值,用于協(xié)商后續(xù)通信中使用的對(duì)稱加密算法的密鑰。客戶端在握手開始時(shí)生成預(yù)主密鑰,并將其發(fā)送給服務(wù)器。預(yù)主密鑰不會(huì)直接用于加密數(shù)據(jù),而是通過協(xié)商生成最終的會(huì)話密鑰。
會(huì)話密鑰(Session Key):
會(huì)話密鑰是在 SSL 握手過程中雙方根據(jù)預(yù)主密鑰和其他信息協(xié)商生成的對(duì)稱密鑰,用于加密和解密通信數(shù)據(jù)。會(huì)話密鑰只在當(dāng)前會(huì)話期間有效,通常保存在客戶端和服務(wù)器端,用于加密數(shù)據(jù)傳輸。一旦會(huì)話結(jié)束,會(huì)話密鑰通常會(huì)被丟棄,以確保下次通信時(shí)使用一個(gè)新的會(huì)話密鑰。
總體來說,預(yù)主密鑰用于安全地協(xié)商生成會(huì)話密鑰,而會(huì)話密鑰則用于實(shí)際的數(shù)據(jù)加密和解密過程。通過這種方式,SSL 協(xié)議確保了通信雙方之間的數(shù)據(jù)傳輸是加密的、安全的。
非對(duì)稱加密技術(shù)和對(duì)稱加密技術(shù)的特點(diǎn)
非對(duì)稱加密技術(shù)有以下幾個(gè)主要特點(diǎn):
- 公鑰和私鑰
非對(duì)稱加密使用一對(duì)密鑰,即公鑰和私鑰。公鑰用于加密數(shù)據(jù),私鑰用于解密數(shù)據(jù)。公鑰可以公開給他人使用,而私鑰則保密。
- 加密和解密
公鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的私鑰解密,私鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。這種特性確保了數(shù)據(jù)在傳輸過程中的安全性。
- 數(shù)字簽名
非對(duì)稱加密還可用于生成和驗(yàn)證數(shù)字簽名。發(fā)送者可以使用自己的私鑰對(duì)消息進(jìn)行簽名,接收者可以使用發(fā)送者的公鑰驗(yàn)證簽名,從而確保消息的完整性和真實(shí)性。
- 安全性
非對(duì)稱加密算法的安全性基于數(shù)學(xué)難題,如大數(shù)分解問題或橢圓曲線離散對(duì)數(shù)問題等。合適的密鑰長度可以提高加密算法的安全性。
- 密鑰交換
非對(duì)稱加密也用于安全地交換對(duì)稱加密算法所需的密鑰,如在TLS握手過程中使用非對(duì)稱加密來交換對(duì)稱密鑰。
- 效率
相較對(duì)稱加密算法,非對(duì)稱加密算法通常計(jì)算量較大,因此在傳輸大量數(shù)據(jù)時(shí)效率可能較低。因此,通常會(huì)結(jié)合對(duì)稱加密和非對(duì)稱加密來達(dá)到安全和效率的平衡。
對(duì)稱加密技術(shù)具有以下幾個(gè)特點(diǎn):
- 高效性
對(duì)稱加密算法通常比非對(duì)稱加密算法更快速,因?yàn)樵诩用芎徒饷苓^程中使用的是相同的密鑰,不需要復(fù)雜的數(shù)學(xué)運(yùn)算。
- 簡單性
相對(duì)于非對(duì)稱加密算法,對(duì)稱加密算法的實(shí)現(xiàn)更為簡單,計(jì)算量小,適合對(duì)大量數(shù)據(jù)進(jìn)行加密。
- 密鑰管理:
對(duì)稱加密算法需要確保密鑰的安全傳輸和存儲(chǔ),否則密鑰可能被竊取導(dǎo)致數(shù)據(jù)泄露。這對(duì)密鑰管理提出了挑戰(zhàn)。
- 適用性
對(duì)稱加密算法適用于大部分?jǐn)?shù)據(jù)加密場景,如數(shù)據(jù)傳輸、文件加密等。然而,在密鑰協(xié)商和分發(fā)方面存在一些限制,尤其在對(duì)數(shù)據(jù)進(jìn)行安全傳輸時(shí)可能需要結(jié)合其他技術(shù)來解決密鑰交換的問題。
- 對(duì)稱性
對(duì)稱加密算法中加密和解密所使用的密鑰是相同的,這種對(duì)稱性也是其命名的來源。因此,雙方在通信前需要協(xié)商并共享同一個(gè)密鑰。
總體來說,對(duì)稱加密技術(shù)在速度和效率上具有優(yōu)勢,而非對(duì)稱加密技術(shù)在密鑰管理和密鑰交換方面更具有優(yōu)勢,所以在很多場景下,是兩種技術(shù)結(jié)合在一起使用,以達(dá)到取長補(bǔ)短的效果。
Md5屬于非對(duì)稱加密技術(shù)實(shí)現(xiàn)的一種嗎
答案是否。MD5和非對(duì)稱加密是兩種不同的加密技術(shù),它們之間是有一些聯(lián)系,但也有區(qū)別:
- 作用和用途
MD5(Message Digest Algorithm 5)是一種哈希算法,主要用于生成數(shù)據(jù)的摘要(digest),以保證數(shù)據(jù)的完整性和驗(yàn)證數(shù)據(jù)的一致性。
非對(duì)稱加密算法(如RSA、ECC等)則是一種加密算法,使用一對(duì)密鑰(公鑰和私鑰)來實(shí)現(xiàn)加密和解密,同時(shí)也可以用于數(shù)字簽名和密鑰交換等功能。
- 單向性
MD5是單向哈希算法,即可以將數(shù)據(jù)生成摘要,但無法從摘要還原出原始數(shù)據(jù)。
非對(duì)稱加密算法是雙向的,可以使用公鑰加密數(shù)據(jù),私鑰解密數(shù)據(jù),或者使用私鑰簽名數(shù)據(jù),公鑰驗(yàn)證簽名。
- 安全性
MD5算法存在一些安全性缺陷,如易受碰撞攻擊等,不適合用于安全性要求較高的場景。
非對(duì)稱加密算法基于數(shù)學(xué)難題,相對(duì)更安全可靠,常用于加密通信、數(shù)字簽名等場景。
- 聯(lián)合使用
在實(shí)際應(yīng)用中,MD5摘要通常會(huì)與非對(duì)稱加密算法結(jié)合使用。例如,在數(shù)字簽名中,可以使用非對(duì)稱加密算法生成數(shù)字簽名,然后再使用MD5對(duì)簽名進(jìn)行摘要,以確保簽名的完整性和真實(shí)性。
SSL的應(yīng)用場景
SSL協(xié)議的常見應(yīng)用場景還是挺多的,比如下面這些。當(dāng)然,除了下面這些,還有其他很多場景,這里就不過多贅述了。
- 網(wǎng)站加密通信:通過HTTPS協(xié)議來保護(hù)網(wǎng)站上的數(shù)據(jù)傳輸,確保用戶和網(wǎng)站之間的通信安全。
- 電子郵件加密:例如使用SMTPS、IMAPS和POP3S等協(xié)議來保護(hù)電子郵件的傳輸過程,確保郵件內(nèi)容的機(jī)密性。
- 虛擬專用網(wǎng)絡(luò)(VPN):通過SSL VPN技術(shù)來建立安全的遠(yuǎn)程訪問連接,使遠(yuǎn)程用戶可以安全地訪問公司內(nèi)部網(wǎng)絡(luò)資源。
- 遠(yuǎn)程管理和訪問:例如通過SSH(Secure Shell)來進(jìn)行遠(yuǎn)程服務(wù)器管理,以及通過HTTPS訪問遠(yuǎn)程管理界面等。
- 安全聊天和即時(shí)通訊:許多即時(shí)通訊應(yīng)用程序使用SSL/TLS來加密用戶之間的通信內(nèi)容,確保聊天內(nèi)容的機(jī)密性。
實(shí)現(xiàn)https訪問的一般步驟
在SSL協(xié)議的應(yīng)用場景中,有一項(xiàng)是使用https協(xié)議來實(shí)現(xiàn)網(wǎng)站的加密通信。可能有的小伙伴會(huì)有疑問,https與ssl都是協(xié)議,有什么區(qū)別或聯(lián)系嗎?可以這么理解:HTTPS實(shí)際上就是HTTP協(xié)議的安全版本,它在HTTP的基礎(chǔ)上加入了SSL/TLS協(xié)議的加密機(jī)制,通過在傳輸層加密數(shù)據(jù)來保護(hù)通信的安全。
目前大多數(shù)網(wǎng)站都使用了HTTPS,想要在網(wǎng)站上實(shí)現(xiàn)HTTPS,通常需要以下幾個(gè)步驟:
- 獲取SSL證書
一般獲取 SSL 證書的途徑也就那么幾個(gè),以下是一些常見的途徑:
- 商業(yè)證書頒發(fā)機(jī)構(gòu)(CA):你可以選擇購買商業(yè) CA(如 Comodo、DigiCert、GlobalSign、Symantec 等)頒發(fā)的 SSL 證書。這些證書通常提供更多的功能和保障,適用于各種企業(yè)級(jí)需求。
- 托管服務(wù)提供商:如果你使用云托管服務(wù)(國外如 AWS、Azure、Google Cloud 等,國內(nèi),如阿里云、騰訊云等),這些平臺(tái)通常提供集成的 SSL 證書管理服務(wù),可以方便地獲取和配置 SSL 證書。
- Let's Encrypt:Let's Encrypt 是一個(gè)免費(fèi)的證書頒發(fā)機(jī)構(gòu),通過他們的服務(wù)可以獲取免費(fèi)的 SSL 證書,支持自動(dòng)化簽發(fā)和更新。
- 第三方證書市場:有一些第三方的證書市場(如 SSLs.com、Namecheap 等)也提供各種類型的 SSL 證書選擇,你可以在這些市場上購買并獲取證書。
- 自簽名證書:如果你只是在內(nèi)部環(huán)境或測試目的下使用 SSL 加密,你也可以生成自簽名證書來使用。不過需要注意的是,自簽名證書在公共網(wǎng)絡(luò)中可能會(huì)受到不信任。
- 安裝SSL證書
一旦獲得SSL證書,就需要將其安裝到Web服務(wù)器上。這通常涉及將證書文件和密鑰文件配置到服務(wù)器軟件(如Apache、Nginx等)的相應(yīng)位置。這個(gè)在后面會(huì)以nginx為例,安裝一個(gè)自簽名的證書。
- 配置服務(wù)器
需要修改Web服務(wù)器的配置,啟用SSL/TLS協(xié)議,并配置加密套件、協(xié)議版本等安全參數(shù)。
- 更新網(wǎng)站鏈接
將網(wǎng)站上的所有鏈接都改為使用https:// 開頭,確保網(wǎng)站上所有資源都通過加密連接進(jìn)行訪問。
- 強(qiáng)制重定向
為了確保所有訪問都通過HTTPS,通常要對(duì)HTTP訪問進(jìn)行強(qiáng)制重定向到HTTPS。
- 測試和驗(yàn)證
最后,需要進(jìn)行測試和驗(yàn)證,確保HTTPS的配置生效,并且網(wǎng)站在瀏覽器中顯示安全的鎖定標(biāo)志。
至此,就可以以相對(duì)安全地訪問目標(biāo)網(wǎng)站了。
HTTPS的工作原理
對(duì)于如何實(shí)現(xiàn)普通網(wǎng)站的HTTPS的步驟,相信你已經(jīng)了然。但是整個(gè)過程是如何工作的,你了解嗎?且往下看。HTTPS(Hypertext Transfer Protocol Secure)的工作原理主要基于SSL/TLS協(xié)議,其關(guān)鍵步驟包括:
- 握手階段
客戶端發(fā)起與服務(wù)器的連接請(qǐng)求,服務(wù)器會(huì)返回其SSL證書,證書中包含公鑰等信息。客戶端驗(yàn)證證書的有效性,并生成一個(gè)隨機(jī)的對(duì)稱密鑰,用服務(wù)器的公鑰加密后發(fā)送給服務(wù)器。
- 密鑰協(xié)商階段
服務(wù)器接收到客戶端發(fā)送的加密后的對(duì)稱密鑰后,使用自己的私鑰解密得到對(duì)稱密鑰,然后雙方基于該對(duì)稱密鑰生成會(huì)話密鑰,用于加密通信數(shù)據(jù)。
- 數(shù)據(jù)傳輸階段
客戶端和服務(wù)器之間使用會(huì)話密鑰進(jìn)行對(duì)稱加密和解密通信數(shù)據(jù),確保數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。
通過以上步驟,HTTPS實(shí)現(xiàn)了對(duì)數(shù)據(jù)的加密傳輸,從而確保了數(shù)據(jù)在傳輸過程中的安全性。此外,HTTPS還使用數(shù)字證書來驗(yàn)證服務(wù)器的身份,防止中間人攻擊,確保客戶端和服務(wù)器之間通信的安全性和可靠性。
在Nginx中配置SSL證書,實(shí)現(xiàn)https訪問網(wǎng)站
在Nginx中配置SSL證書,即可實(shí)現(xiàn)客戶端的 HTTPS 訪問,配置過程并不復(fù)雜,但前提是得有證書。
1、獲取SSL證書:
在上面已經(jīng)提到,可以從信任的證書頒發(fā)機(jī)構(gòu)(CA),或者使用 Let's Encrypt 等免費(fèi)證書服務(wù),來獲取 SSL 證書。需要注意的是自簽名的證書,最好只用在內(nèi)網(wǎng)中,在互聯(lián)網(wǎng)中自簽名的證書可能并不被信任。
2、配置SSL證書
在 Nginx 的配置中,指定 SSL 證書的位置、私鑰以及其他相關(guān)配置。下面nginx.conf中的一段關(guān)鍵配置示例:
server {
listen 443 ssl;
server_name 192.168.35.106;
root /usr/share/nginx/html;
ssl_certificate /etc/nginx/ssl/cert.crt;
ssl_certificate_key /etc/nginx/ssl/key.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
error_page 404 /404.html;
location = /404.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
server {
listen 80;
server_name 192.168.35.106;
return 301 https://$host$request_uri;
}
上面的配置示例內(nèi)容中,需要重點(diǎn)關(guān)注幾個(gè)地方:- ssl_certificate:指定 SSL 證書文件的路徑,這里是 /etc/nginx/ssl/cert.crt,該證書文件包含了公鑰、證書鏈和其他必要信息。
- ssl_certificate_key :指定 SSL 證書的私鑰文件路徑,這里是 /etc/nginx/ssl/key.pem,該私鑰用于解密客戶端發(fā)來的加密數(shù)據(jù)。
- ssl_protocols TLSv1.2 TLSv1.3;:指定 Nginx 支持的 SSL/TLS 協(xié)議版本,這里配置了支持 TLS 1.2 和 TLS 1.3 版本。
- ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';:設(shè)置加密套件的優(yōu)先順序,這里指定了兩個(gè)加密套件,分別為 ECDHE-ECDSA-AES256-GCM-SHA384 和 ECDHE-RSA-AES256-GCM-SHA384。
- ssl_prefer_server_ciphers on;:啟用服務(wù)器端的加密套件優(yōu)先設(shè)置,表示服務(wù)器會(huì)優(yōu)先選擇自己支持的加密套件與客戶端協(xié)商加密方式。
- listen 443 ssl;:當(dāng)使用 HTTPS 協(xié)議時(shí),通常會(huì)使用 443 端口來提供加密的網(wǎng)站訪問,因此需要確保443可以通過防火墻,并且啟用 SSL 加密。
- 第二個(gè)server中l(wèi)isten 80;:這個(gè)配置的作用是將所有通過 HTTP(端口 80)訪問服務(wù)器的請(qǐng)求重定向到 HTTPS(端口 443)上,以確保網(wǎng)站訪問是通過加密的安全連接進(jìn)行;
- return 301 https://$host$request_uri;:這是重定向指令,當(dāng)收到 HTTP 請(qǐng)求時(shí),會(huì)返回一個(gè) HTTP 301 永久重定向響應(yīng),將請(qǐng)求重定向到相同的請(qǐng)求 URL,但使用 HTTPS 協(xié)議。其中 $host 表示原始請(qǐng)求的主機(jī)名,$request_uri 表示原始請(qǐng)求的 URI。
3、重啟Nginx
完成 SSL 配置后,需要重新加載或重啟 Nginx 以使更改生效。可以使用命令 nginx -s reload 或者 systemctl restart nginx來重新加載配置。
nginx -s reload
systemctl restart nginx4、驗(yàn)證
使用瀏覽器訪問你的網(wǎng)站,由原來http訪問,改成https訪問,如果可以通過 HTTPS 訪問并且瀏覽器地址欄中顯示安全連接的標(biāo)識(shí),那就說明配置已經(jīng)成功。
寫在最后
非常感謝你能耐心看完我的這篇文章,希望我的分享對(duì)你有所幫助。當(dāng)然,如果你覺得這篇文章對(duì)你有所幫助,不妨點(diǎn)擊點(diǎn)贊按鈕,讓更多的人看到這篇優(yōu)質(zhì)的技術(shù)分享。同時(shí),別忘了將這篇文章收藏起來,也方便日后再次查閱。
