it-swarm-id.com

Pemahaman saya tentang cara kerja HTTPS (gmail misalnya)

Saya ingin bertanya apakah pemahaman saya di bawah ini benar atau tidak mengenai HTTPS yang digunakan untuk halaman web yang kami kunjungi.

Saya akan menggunakan Gmail sebagai contoh:

  1. Laptop saya mencoba terhubung ke server Gmail dan mengirimkan permintaan http
  2. Server Gmail membalas dengan permintaan untuk membuat koneksi https sebagai gantinya (mengirim permintaan https)
  3. Laptop saya memeriksa sertifikasi https untuk server Gmail dan setuju untuk menggunakan https untuk terhubung
  4. Laptop saya menemukan Kunci Publik dari server Gmail dan menggunakannya untuk mengenkripsi kata sandi akun gmail saya dan mengirimkannya ke Server Gmail
  5. Server Gmail memverifikasi kata sandi saya dengan menggunakan Kunci Pribadi Server Gmail dan mengonfirmasi login email saya
  6. Server Gmail mengirimkan informasi email ke laptop saya dengan mengenkripsi menggunakan laptop saya Kunci Publik
  7. Laptop saya membaca informasi email terenkripsi dengan mendekripsi menggunakan Kunci Pribadi laptop saya
  8. Begitu seterusnya dan seterusnya hingga laptop saya keluar dari server Gmail.

Ringkasan: ada 4 kunci yang terlibat dalam koneksi https ini. Server Publik/Kunci Pribadi Server Gmail (2 pc) + Laptop Saya Kunci Publik/Pribadi (2pc)

27
Xianlin

Ya, Anda berada di jalur yang benar! Tetapi hal-hal sebenarnya bekerja sedikit berbeda dari yang Anda uraikan.

Secara khusus, Langkah 4-8 tidak cukup bagaimana SSL bekerja. SSL bekerja sedikit berbeda. Berikut ini cara kerjanya (saya akan membuat beberapa penyederhanaan kecil, tetapi ini harus mendapatkan intisari dari gagasan itu):

  • Server Gmail mengirimkan sertifikat kepada klien Anda . Sertifikat mencakup kunci publik server Gmail, dan beberapa bukti bahwa kunci publik ini sebenarnya milik gmail.com.

  • Browser Anda memverifikasi bukti dalam sertifikat, untuk mengonfirmasi bahwa ia memiliki kunci publik yang tepat untuk gmail.com.

  • Browser Anda memilih kunci simetris baru acak [~ # ~] k [~ # ~] untuk digunakan untuk koneksi ke Gmail. Ini mengenkripsi [~ # ~] k [~ # ~] di bawah kunci publik Gmail.

  • Dekripsi Gmail [~ # ~] k [~ # ~] menggunakan kunci privasinya. Sekarang browser dan server Gmail Anda tahu [~ # ~] k [~ # ~] , tetapi tidak ada orang lain yang melakukannya.

  • Kapan saja browser Anda ingin mengirim sesuatu ke Gmail, itu mengenkripsi di bawah [~ # ~] k [~ # ~] ; server Gmail mendekripsinya setelah diterima. Kapan saja server Gmail ingin mengirim sesuatu ke browser Anda, itu mengenkripsi di bawah [~ # ~] k [~ # ~] .

Langkah 1-3 Anda kira-kira benar, meskipun tidak sepenuhnya benar, dan detailnya sedikit bergantung pada browser apa yang Anda gunakan dan URL apa yang Anda ketik di bilah alamat atau bagaimana Anda sampai di Gmail - tetapi apa yang Anda menulis cukup dekat untuk memahami konsep dasar. Cukup bagus untuk pekerjaan pemerintah.

Berikut ini beberapa bacaan tambahan untuk Anda:

Bagaimana mungkin orang yang mengamati koneksi HTTPS sedang dibuat tidak akan tahu cara mendekripsi itu?

Bagaimana proses untuk sertifikat digital, tanda tangan, dan ssl bekerja?

Tujuan sertifikat ditandatangani dan dipercaya oleh CA

Mengapa memalsukan sertifikat SSL sulit?

Mengapa HTTPS bukan protokol default?

Apakah mengunjungi situs web HTTPS di hotspot publik aman?

Saya pikir artikel-artikel itu harus memberi Anda pemahaman yang sangat baik tentang SSL, cara kerjanya, dan mengapa ia dirancang seperti itu.

Jika itu tidak cukup, Anda harus memiliki lebih banyak lagi, berikut adalah beberapa artikel dari Wikipedia:

Cara kerja sertifikat

Cara SSL bekerja

Namun mereka mungkin memiliki detail teknis yang jauh lebih banyak daripada yang ingin Anda ketahui, dan mereka bukan pengantar pertama yang bagus untuk konsep atau ide dasar.

50
D.W.