2022-04-17
此书比较简单和清晰,你说http在使用层几乎没有特别难理解的地方,但是不是没有。
我读此书主要是为了学习里面关于https的介绍。
要想抓包抓到好,https必然少不了。众所周知,天下没有我不能抓的http报文,可是https的报文总是让我泪满襟。有时候安装一个证书可以抓包了,可以却不理解为何能够抓包。知其然,不知其所以然。
思来想去,https是人生路上饶不开的坎子,不求能够掌握其细节,但是至少大概原理能够懂一点。
此处开个头,后面来填坑。
几个基本概念:
public key cryptography 另一种叫法为非对称
public key 公开密钥
private key 私有密钥
common key crypto system 另一种叫法为对称加密
其实从下图可以看到,区别就是就是key是否是同一把。
https同时借鉴了对称和非对称加密方法。
在交换密钥的环节使用非对称加密,交换了密钥之后,使用对称加密方式加密。
下面遇到一个问题就是如何证明公开密钥的正确性。你如何证明收到的那个公开的密钥就是原本预想的服务器发行的公开密钥?或许在传输过程中,真正的公开密钥已经被攻击者或者中间人替换了。为了解决这个问题,引入了证书的概念,也就是CA(Certificate Authority)
下图说明了ca和客户端是如何起作用的。
客户端有对签名进行检查。
你想一下,在使用ssh的时候,你把服务器公钥放到了对应目录下,然后就可以直接连对应的服务器了,而不需要输入密码。其实这个过程说明了你是信任这个公钥的。
去年元夜时,花市灯如昼。
月上柳梢头,人约黄昏后。
今年元夜时,月与灯依旧。
不见去年人,泪湿春衫袖。
