于永雨的学习笔记
  • 学海无涯
  • 前端基础
    • HTML
      • 语义化标签
      • script标签中defer和async
      • 本地存储
      • 拖拽
      • Web Workers
      • WebSocket
    • CSS
      • 盒模型和box-sizing
      • BFC(块级格式化上下文)
      • 浮动和清除浮动
      • 伪类和伪元素
      • 2倍图、3倍图
      • flex
      • 水平居中、垂直居中
      • 经典布局
        • 两列布局
        • 三列布局
      • 经典实践
      • CSS样式隔离
      • Less vs Sass
    • JavaScript
      • ES
        • 数据类型
          • 1-string
          • 2-number
          • 3-boolean
          • 4-null
          • 5-undefined
          • 6-symbol
          • 7-object
          • 常见类型判断
          • 浅拷贝、深拷贝
        • 数据集合
          • Array
          • 类数组对象
          • Map、WeakMap
          • Set、WeakSet
          • 常见遍历方式
        • 变量
          • 修饰符
          • 变量提升
        • 函数
          • apply、call、bind
          • new
          • this
          • 箭头函数
          • 闭包
          • 防抖和节流
          • 柯里化
        • 原型
          • 原型链
        • 异步
          • 单线程&事件循环
          • 常见异步
          • Promise
            • all和allSettled
            • race和any
            • resolve和reject
        • 模块化
        • 版本特性一览表
      • DOM
        • DOM事件
        • 事件分类
      • BOM
    • TypeScript
    • 浏览器
      • 页面渲染
      • 重绘和回流
      • 跨域
      • 垃圾回收
      • 取消请求
    • Web API
      • EventSource
      • XMLHttpRequest
      • WebSocket
      • IntersectionObserver
  • 前端框架
    • Vue
      • 2.0
        • 列表渲染的key
        • 生命周期
        • diff算法
      • 3.0
        • 改变
        • provide/inject
        • 组件间可复用逻辑封装
        • diff算法
    • React
      • Component
      • Props
      • State
      • Context
      • Effect
      • Hooks
        • hook依赖列表
        • useMemo
        • useCallback
        • useEffect
      • API
        • memo
      • 子组件的无效渲染
      • 组件在开发模式下渲染两次
    • Vue-Router
    • Taro
    • Qiankun
  • 前端方案
    • 错误上报
    • 性能优化
    • 长列表优化原理
    • H5移动端适配
  • 工程化
    • 前端
      • 防止package-lock.json删除
      • 打包ESM和CommonJS
      • babel
      • webpack
      • pnpm
      • 多包管理
      • vite
      • 各种base
    • 服务端
      • Maven
  • 小程序
    • 小程序历史
    • 双线程架构
    • 生命周期
    • 更新机制
  • 服务端
    • Redis
    • Node.js
      • 核心
      • 进程守护
      • Koa
    • Java
      • 安装与配置
    • Restful API
  • DevOps
    • Nginx
    • Docker
      • 核心概念
      • 基础命令
    • K8s
    • Linux
      • shell及脚本
      • 文件目录操作
      • vi/vim
  • 计算机基础
    • 数据结构
      • 栈(Stack)
      • 队列(Queue)
      • 数组(Array)
      • 链表(Linked List)
      • 树(Tree)
      • 图(Graph)
      • 堆(Heap)
      • 散列表(Hash Table)
    • 算法
      • 查找
      • 排序
  • 计算机网络
    • 基础
    • TCP
      • 建立连接(三次握手)
      • 断开连接(四次挥手)
    • UDP
    • HTTP
      • HTTP/2
      • HTTPS
    • 常见网络攻击
      • XSS
      • CSRF
      • DDos
      • MITM
    • 浏览器缓存
  • 经典面试题
    • 箭头函数this-1
    • 箭头函数this-2
    • 数组转树
    • 控制并发数
    • 动态规划-二维数组全排列
    • 柯里化
Powered by GitBook
On this page
  • 一、和HTTP的关系?
  • 二、处于计算机网络的哪一层?
  • 三、流程
  • 四、FQA
  1. 计算机网络
  2. HTTP

HTTPS

HTTPS

PreviousHTTP/2Next常见网络攻击

Last updated 1 year ago

一、和HTTP的关系?

HTTPS = HTTP + TLS/SSL

二、处于计算机网络的哪一层?

三、流程

涉及两种加密:

  • 对称加密(随机字符串)

  • 非对称加密(公钥+私钥)

四、FQA

  1. TLS层为什么要在TCP层之上?

答:TLS层属于应用层,需要TCP建立连接提供数据交互通道,用于数据的接发,比如:数字证书、密钥

  1. 为啥要用数字证书传输公钥,而不是直接传输公钥?

答:避免公钥被篡改,即中间人攻击(MITM)。直接传输公钥如果被中间人拿到,中间人可以篡改,将自己的公钥发给客户端,然后用窃取的公钥和服务端通信。

数字证书是如何做到规避MITM的?

数字证书里的数字签名是第三方机构用私钥加密过的,中间人是没办法拿到第三方机构的私钥

  1. 证书都包含什么内容?

答:数字证书 = 网站信息+ 网站公钥 + 数字签名

  1. 证书中的数字签名是如何生成的?

答:

第1步:将网站信息(域名、公钥等)进行MD5加密

第2步:再用第三方机构私钥对MD5的结果加密(防止中间人攻击的关键)

  1. 数字签名如何做到防止中间人攻击的?

答:因为中间人是没办法拿到第三方机构的私钥,所以就没办法伪造数字签名,假如伪造一个假的数字签名发给客户端,客户端用第三方机构的公钥也解密不了。

  1. 客户端如何验证证书有效性的?

答:浏览器安装后会内置一些权威第三方认证机构的公钥,比如VeriSign、Symantec以及GlobalSign等等,验证签名的时候直接就从本地拿到相应第三方机构的公钥,对用第三方机构私钥加密后的数字签名进行解密得到真正的数字签名,然后客户端利用签名生成规则进行签名生成,看两个签名是否匹配,如果匹配认证通过,不匹配则获取证书失败。

  1. 证书验证成功后为啥改为对称加密?

答:非对称相比于对称加密加密开销太大

参考:

  • https://juejin.cn/post/6844903545272041479

  • https://mp.weixin.qq.com/s/0M6vzrp52zpyAtmGcBQKTg

SSL处于HTTP和TCP中间
通信流程
中间人攻击
数字证书的组成