不知道小伙伴注意到没有,不知不觉中,我们常用的网站都已经采用了HTTPS加密;Chrome把HTTP网站标记为不安全,Apple要求所有IOS App全部采用HTTPS加密。那么本期我们就来介绍一下HTTPS。
01
—
HTTPS介绍
要介绍HTTPS,先得说一下HTTP。
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,于是,诞生了HTTPS。简单来说HTTPS是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。TLS/SSL 具有身份验证、信息加密和完整性校验的功能。
02
—
TLS介绍
TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。
我们一起来回顾一下SSL/TLS的发展历程:
SSL 1.0 版本从未公开过,因为存在严重的安全漏洞。
1995年:SSL 2.0 版本在1995年2月发布,但因为存在数个严重的安全漏洞而被3.0版本替代。
1996年:SSL 3.0 写成RFC,开始流行。目前(2015年)已经不安全,必须禁用。SSL 3.0的漏洞允许攻击者发起降级攻击。
1999年:TLS 1.0 互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。
2006年:TLS 1.1 作为 RFC 4346 发布。主要修复了CBC模式相关的如BEAST攻击等漏洞。
2008年:TLS 1.2 作为 RFC 5246 发布 。提供现代加密算法(AEAD),增进安全性,目前主要使用的版本。
2018年:TLS 1.3 作为 RFC 8446 发布。,支持0-rtt,大幅增进安全性,砍掉了AEAD之外的加密方式。
目前通过wireshark抓包,可以看到,使用的都是 TLS 1.2,同时window服务器应该禁用默认的 SSL 2.0 和 SSL 3.0 只启用 TLS 1.2 保证安全。
03
—
HTTPS就绝对安全了吗
HTTPS就绝对安全了吗,也不是,下面说一种攻击方式--中间人攻击:
你以为你在跟服务器通信,其实不是……
在我们测试工作中,会用fiddler或者burpsuite抓取https包,利用的就是中间人攻击这个原理。
以后有机会再介绍如何抓取HTTPS包。
网友评论