24 - HTTPS

作者: RadioWaves | 来源:发表于2017-07-02 17:12 被阅读60次

24 - HTTPS
24 Https
扩展阅读
编译Telegram-7.0.1
IPFS快速入门基础
vue+elementUI 使用el-tree实现异步懒加载
Cloud Native Healthcare Security
react笔记2
让代码更整洁的24个Swift扩展
1024见。

HTTP : (Hypertext Transfer Protocol) : 超文本传输协议

超文本传输协议HTTP协议被用于在客户端和网站服务器之间传递信息。
HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了客户端和网站服务器之间的传输文本，就可以直接读懂其中的信息
因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

HTTPS : (Hyper Text Transfer Protocol over Secure Socket Layer) : 安全套接字层超文本传输协议

为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议,
SSL依靠证书来验证服务器的身份，并为客户端和服务器之间的通信加密,
是以安全为目标的 HTTP 通道，简单讲是HTTP的安全版.

HTTPS和HTTP的区别主要为以下四点：

一、https协议需要到ca申请证书，一般免费证书很少，需要交费。
二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
四、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

ca证书:

内部包含公钥和私钥

ca证书原理 :
数字证书在用户公钥后附加了用户信息及CA的签名。
公钥是密钥对的一部分，另一部分是私钥。
公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。
为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。
同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；
收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。
- 在线交易中您可使用数字证书验证对方身份。
- 用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。
- 有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。
ca证书的作用:
- 保密性 - 只有收件人才能阅读信息。
- 认证性 - 确认信息发送者的身份。
- 完整性 - 信息在传递过程中不会被篡改。
- 不可抵赖性 - 发送者不能否认已发送的信息。
- 保证请求者与服务者的数据交换的安全性

HTTPS请求是这样的:

首先在服务器端,会有一个受保护空间,在里面放有证安全证书.

客户端给服务器发一个HTTPS的请求的时候,服务器不会马上把数据返回客户端,
首先他会把证书传到客户端,客户端拿到证书以后可以选择是否安装,如果同意安装了,
那么客户端给服务器发送请求的通道,或者返回请求的这个通道会被安全证书保护着, 里面传输的所有数据都是通过证书进行加密的.
这个安全证书都是通过公钥加密的,想解密的话必须通过私钥,没私钥的话,没法解密.
这个私钥是在服务器中放着的,就算黑客拦截到数据,但是没办法解密,因为他没有私钥

在浏览器中当你打开一个HTTPS网站,会弹出一个框,让你接受证书,还有的大型网站会强制给你安装,但手机上是怎么弄的呢

我们用来代码来看看

- (void)viewDidLoad {
    [super viewDidLoad];
  
    // 设置代理 开启线程
    NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[[NSOperationQueue alloc] init]];
    
    // 像苹果网站发送数据
    NSURLSessionDataTask *task = [session dataTaskWithURL:[NSURL URLWithString:@"https://www.apple.com/"] completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
        NSLog(@"%@", [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
    }];

    // 开始任务
    [task resume];
}

#pragma mark - <NSURLSessionTaskDelegate>
/**
 * challenge ：询问
 * completionHandler : 通过调用这个block，来告诉URLSession要不要接收这个证书
 * void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential *)
 * NSURLSessionAuthChallengeDisposition ： 如何处理这个安全证书
 * NSURLCredential ：安全证书
 */
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task 
                                            didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential *))completionHandler
{
    // 如果不是服务器信任类型的证书，直接返回
    if (![challenge.protectionSpace.authenticationMethod
                                          isEqualToString:NSURLAuthenticationMethodServerTrust]) return;
    

    // 根据服务器的信任信息创建证书对象
    NSURLCredential *crdential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];

    // 利用这个block说明使用这个证书
    if (completionHandler) {
        completionHandler(NSURLSessionAuthChallengeUseCredential, crdential);
     }
    
    // 以下是装B写法
    //  !completionHandler ? : completionHandler(NSURLSessionAuthChallengeUseCredential, challenge.proposedCredential);
}