gpt4 book ai didi

https - Https 真的使用传输层安全吗

转载 作者:太空宇宙 更新时间:2023-11-03 13:18:33 27 4
gpt4 key购买 nike

我对 HTTPS 有疑问。我的一位前辈告诉我,Https 实际上并不使用 SSL/TLS,而只是使用它们的加密算法。他说,证书的握手过程是在传输层完成的,但实际有效负载的安全 key 加密是在应用层完成的。而且他还说Https其实可以认为是一种表现层协议(protocol)。

他是对的吗?

最佳答案

HTTPS 在 RFC 2818 中指定: "HTTP Over TLS".

虽然该规范是关于 TLS 的(因为它是一个 IETF 规范,而 IETF 只使用“TLS”),但实际上它是关于 SSL 或 TLS 的,具体取决于所使用的 SSL/TLS 版本(参见 difference between SSL and TLS)。

是的,HTTPS 确实使用 SSL/TLS。正如 RFC 所说:

Conceptually, HTTP/TLS is very simple. Simply use HTTP over TLSprecisely as you would use HTTP over TCP.

本质上,加密 key 是在 SSL/TLS 握手期间协商的,HTTP 交换不知道这些 key 。

如果您不相信,请使用 Wireshark 查看一些浏览器流量。您将看到的只是一些 SSL/TLS 流量(交换的 HTTP 由它加密)。

如果您想分析一些流量,您可以设置自己的服务器并使用它的私钥来查看使用 Wireshark 的 SSL/TLS 之上的正常 HTTP 交换,如 Wireshark SSL 中所述。页。 (您需要禁用 EDH 密码套件,因为它们提供完美的前向保密性,即使您拥有服务器私钥,也可以防止您破译嗅探流量。)此页面还有一些示例 HTTPS 数据,您可以下载并使用 Wireshark 查看,而无需安装您自己的服务器。

从浏览器的角度来看,您还可以查看使用 HTTPS 时开发人员工具(Firebug 等)报告的流量,您只会看到普通的 HTTP 流量,因为采用了 SSL/TLS 层由下面的 SSL/TLS 库处理。

一般来说,我不会过分强调 OSI 层。它们在理论网络类(class)中看起来不错,但实际上很难应用于 TCP/IP 堆栈(请参阅 comparison"layering considered harmful" ),尤其是当您将 SSL/TLS 放入其中时,它被精确地设计成一个不可见的层就应用层而言(SSL/TLS 通常位于 TCP 之上,就像 TCP 之上的任何其他应用程序协议(protocol)一样,但它位于它所保护的任何应用程序协议(protocol)之下)。

关于https - Https 真的使用传输层安全吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13045643/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com