2017中科大信息安全课程总结一

https部分

1.https原理

• 1.客户端（浏览器）的“证书管理器”里有“受信任的根证书颁发机构”，即对应的CA和服务器站点的证书。
• 2.客户端向服务器端发送加密请求（如https://www.baidu.com）。
• 3.服务器收到请求后，需要向客户端验证自己的身份。于是将自己的公钥发送给CA，CA用自己的私钥对服务器的公钥加密，生成数字签名。CA再将服务器的公钥、数字签名和服务器的一些其它消息整合在一起，生成证书，再将证书返回给服务器。
• 4.客户端对服务器发送过来的证书，用CA的公钥解密，可得服务器的公钥和一些服务器的相关信息，与浏览器中的服务器站点的证书进行匹配。若匹配成功，则表明验证成功。
• 5.验证成功后，浏览器将网站公钥加密的一个随机密码数发送给网站服务器，网站服务器通过私钥解密得到随机密码数，这个随机密码数就是对称加密的密钥，此步骤实现了密码协商的过程。
• 6.浏览器和网站的服务器就可以通过这个密码进行加密通信。

2.SSL Spoofing（https协议降级）

攻击能够实现的原因：实现和实现SSL/TLS协议出现了漏洞，导致攻击者可以攻击一些旧版本的SSL/TLS协议。当SSL/TLS加密协议漏洞爆出来之后，最新版本的SSL/TLS协议修复了已知漏洞，但旧版本的加密协议却变得不安全了。

https降级协议