学会应用HTTPS，信息安全基础

时间：2023-11-24 理论教育 版权反馈

【摘要】：HTTPS是工作在SSL/TLS之上的HTTP。在浏览器向Web发出第一个HTTP请求之前，SSL/TLS必须完成握手过程，以便协商出加密密钥，为随后的通信提供保护。检查浏览器是否支持SSL/TLS或HTTPS。实际上，目前所有的浏览器都内置有HTTPS功能。这里以访问中国银行网站为例，来对与HTTPS相关的信息进行说明。该证书的目的是保证远程计算机的身份，并且是由“DigiCert SHA2 Extended Validation Server CA”颁发的。此窗口的地址栏右边，并没有出现小锁，取而代之的是一个盾牌，文字明确显示“证书错误”。

学会应用HTTPS，信息安全基础

HTTPS是工作在SSL/TLS之上的HTTP。当使用HTTPS访问Web站点时，SSL/TLS会保护浏览器和Web服务器之间的通信。在浏览器向Web发出第一个HTTP请求之前，SSL/TLS必须完成握手过程，以便协商出加密密钥，为随后的通信提供保护。在握手过程中，Web服务器还会提供它自己的证书，而浏览器会验证这个证书。

（1）检查浏览器是否支持SSL/TLS或HTTPS。

在Windows 7系统中，打开“控制面板”→“网络和Internet”→“Internet选项”→“高级”，拖动“设置”标签下的滚动条，直到显示出SSL和TLS字样，如图7-13所示。实际上，目前所有的浏览器都内置有HTTPS功能。

（2）访问证书受信任的Web网站。

当我们访问一个启用了SSL/TLS的网站时，URL地址将以https：//开头。这里以访问中国银行网站为例，来对与HTTPS相关的信息进行说明。以网址http：//www.boc.cn/打开中国银行网站，在页面上选择“个人客户网银登录”，页面显示如图7-14所示。会发现地址栏已自动改成以https：//开头了。图中还显示有“Bank of China Limited [CN] 由DigiCert识别”提示，那是鼠标指针停留在小锁所在的区域系统显示的信息。如果单击该区域，则弹出一个窗口，如图7-15所示。这些都在告诉用户，目前浏览器正在与中国银行网站进行加密通信，并且该网站的身份已经通过了DigiCert的验证，是可信的官方网站。

pagenumber_ebook=216,pagenumber_book=208

图7-13　Internet高级属性对话框中的SSL/TLS

pagenumber_ebook=216,pagenumber_book=208

图7-14　使用IE浏览器登录中国银行个人网银页面

pagenumber_ebook=217,pagenumber_book=209

图7-15　小锁及附带的提示信息

如果单击图7-15中的“查看证书”，则显示中国银行Web网站的证书信息，如图7-16所示。该证书的目的是保证远程计算机的身份，并且是由“DigiCert SHA2 Extended Validation Server CA”颁发的。这意味着“DigiCert SHA2 Extended Validation Server CA”的私钥对中国银行Web网站的证书进行了签名。选择“证书路径”，如图7-17所示。

pagenumber_ebook=217,pagenumber_book=209

图7-16　中国银行网站的证书的常规信息

pagenumber_ebook=218,pagenumber_book=210

图7-17　中国银行网站的证书的证书路径信息

这个证书路径的含义是，从上往下，上一个证书中的公钥验证下一个证书的有效性。之所以能够这样验证，是因为，与“DigiCert”证书中的公钥对应的私钥，对“DigiCert SHA2 Extended Validation Server CA”证书进行了签名；与“DigiCert SHA2 Extended Validation Server CA”证书中的公钥对应的私钥，对“ebsnew.boc.cn”证书进行了签名。其中，“DigiCert”证书是受系统信任的根CA证书，你可以在“受信任的根证书颁发机构”中找到它。通过以下方法可以找到“受信任的根证书颁发机构”列表：打开“控制面板”→“网络和Internet”→“Internet选项”→“内容”→“证书”→“受信任的根证书颁发机构”。查找“DigiCert”证书的具体方法可参考第2章的2.6.2小节的相关内容，这里不再累述。系统无条件地信任这个证书中的公钥。(www.daowen.com)

（3）访问证书不受信任的Web网站。

访问国家税务局发票验证网站，在浏览器中输入网址https：//inv-veri.chinatax.gov.cn/。IE浏览器的显示如图7-18所示。它明确告诉我们此网站的证书有问题，因为该证书不是由系统受信任的颁发机构颁发的。此时，如果继续浏览该网站则可能存在以下安全风险：被欺骗或泄露敏感信息。所以它建议关闭此页面。

因为这是一个政府官方网站，并且一般人通常仅用它来查询发票的真伪，所以，这里选择“继续浏览此网站”，如图7-19所示。此窗口的地址栏右边，并没有出现小锁，取而代之的是一个盾牌，文字明确显示“证书错误”。单击“证书错误”区域，浏览器显示如图7-20所示。同样提醒该网站的证书不受本系统信任。

pagenumber_ebook=219,pagenumber_book=211

图7-18　因网站证书不被识别导航被阻止

pagenumber_ebook=219,pagenumber_book=211

图7-19　继续浏览证书不被信任的网站

下面让我们看一看，那个网站的证书为什么不受信任。单击图7-20中的“查看证书”，弹出一个证书对话框，如图7-21所示。提示“无法将这个证书验证到一个受信任的证书颁发机构”，换句话说，也就是本计算机系统中并没有一个受信任的证书颁发机构可以验证国家税务局发票验证网站的证书“inv-veri.chinatax.gov.cn”。单击“证书路径”，如图7-22所示。证书路径中的前两个并不是本计算机系统内置的受信任的证书颁发机构的证书，当然无法验证证书“inv-veri.chinatax.gov.cn”的真实性，所以它不被本系统信任。

最后，顺便提醒一下，根证书非常重要。不要轻易地安装来历不明的根证书，否则你的计算机会无条件信任那个根证书颁发的任何证书，这可能会给你带来很大的安全威胁。

pagenumber_ebook=220,pagenumber_book=212