iT邦幫忙

0

請教 HTTPS的差異

小妹第一次學電腦,
老師要我們寫
"說明HTTPS的差異,並擷取封包說明之"這份作業,
重點用wireshark抓封包是要抓什麼?怎麼看?
可以跟這邊的it神人請教嗎?
我真的很想把這份作業寫好...

Jason iT邦新手 5 級 ‧ 2022-01-12 14:40:59 檢舉
說實話HTTPS只是賣HTTPS產業用來騙錢,一個網站實在不需要整個HTTPS,而且在有交易的頁面才需要,但現在整個都變質,要你全部都進HTTPS,但實際上可以試一個網站若沒有一定要https時你打http,速度會快很多,但沒幾個人懂網際網路,而那些賣https產業又一起聯合來騙錢,有的網站若只是純官網,沒有任何需要登入或交易的頁面,用https根本一點用處也沒有,只是被拿來當騙錢的工具
7
raytracy
iT邦大神 1 級 ‧ 2022-01-08 21:41:33
最佳解答

TLS 1.2 規格請看 RFC5246:
https://datatracker.ietf.org/doc/html/rfc5246
TLS 1.3 規格請看 RFC8446:
https://datatracker.ietf.org/doc/html/rfc8446

上面講的是正規的學習流程:

  1. 先把規格定義的動作原理看懂
  2. 思考如何在現實世界, 把抽象規格描述實作出來
  3. 在實作中觀察資訊流內容 (例如透過 Wireshark 看封包)
  4. 比較兩者的資訊流內容有甚麼差異

但是, Wireshark 擷下來的封包, 會以 Raw 格式呈現出來給你, 不一定會幫你整理成 RFC 裡面的高階定義格式, 所以你還要從這些 Raw 封包, 看懂它們的組合和每一個位元組的意義, 把她還原成原本資料流想要傳遞的高階格式.

想看懂 Wireshark, 你必須先具備 OSI 通訊 Model 裡面, Layer 2 和 Layer 3 的相關知識.
當然, 在看懂 TLS 之前, 你可能要先看懂 HTTP 相關的 RFC, 比較方便實作出來...

我不知道現在學校都用甚麼方式傳授知識?
不過以前我們都是苦讀 RFC 內容學習的...

看更多先前的回應...收起先前的回應...

第一次學電腦,老師要我們寫"說明HTTPS的TLS1.2、TLS1.3差異,並擷取封包說明之(TLS1.2、1.3之差異舉例,可以使用不同網站)"這份作業

如果是我,直接放棄
若是必修,直接重修
若是選修,再不選修
/images/emoticon/emoticon20.gif

沛沛 iT邦新手 5 級 ‧ 2022-01-08 23:27:44 檢舉

樓上別這樣QAQ...

請問比較的內容大概是朝向那些方向呢?
比如說開幾個不同網站看看他們是用1.2或1.3
這個部分我需要快速理解~因為時間不多了
大神提供的學習方法我也會慢慢啃...

raytracy iT邦大神 1 級 ‧ 2022-01-09 01:48:47 檢舉

這篇就是在做你的作業, 只不過他用的工具跟你不同, 他的幾點結論雖然很簡單, 但分析 TLS 1.3/1.2 的差異卻非常深入; 你可以試試看, 能否用 Wireshark 看出他已經得出結論的這些資料流:
https://raymii.org/s/tutorials/OpenSSL_test_TLSv1.3_connection_with_s_client.html

下面這邊只有結論, 但她看到的角度就跟上面有些許不同:
https://www.wolfssl.com/differences-between-tls-1-2-and-tls-1-3/

這篇是另外一種比較的方法, 顯然他認知的也跟上面有些差異:
https://www.geeksforgeeks.org/differences-between-tls-1-2-and-tls-1-3/

每個人都會因為自己的知識背景/熟悉領域, 而產出不同的比較項目;
例如, 不熟悉密碼學的人, 可能就不會去比較兩者的 Cipher suites; 對網路維運很敏感的人, 第一個會想到要去測量兩者的 Round-trip time 差異; 做網站的人, 會先想到: 他對我的瀏覽效能有甚麼影響?.....

沛沛 iT邦新手 5 級 ‧ 2022-01-09 15:07:57 檢舉

了解!謝謝大神的指教,我再慢慢摸索一下~

bohan1210 iT邦新手 4 級 ‧ 2022-01-12 17:50:43 檢舉

苦讀 RFC ...果真是硬實力的前輩!

2
Gary
iT邦研究生 1 級 ‧ 2022-01-09 14:45:20

簡單理解歷史演進並針對網路分享的文章整理歸納:

2018/7/25,Chrome 68 上線後所有 HTTP 網站都被標記為“不安全”。國內外大到 Google、Facebook 等巨頭,小到個人 Blog 等網站及 App 程式都全站式啟用 HTTPS,此為未來網路發展趨勢。而 HTTPS 雖然增加網站安全性,但因 HTTPS 交握次數過多,在一定程度上也降低用戶的速度體驗。為使 HTTPS 能更快達到資料傳輸的效率且兼顧傳輸安全姓,雲服務商像是 Azure 也開始支援從原來 TLS1.2 進階到 1.3 版本。

以下表示的 Https 協議其實就是 HTTP 加上 SSL/TLS 的組合>>

TLS(Transport Layer Security Protocol,傳輸層安全協議)主要目的是提供隱私和資料兩個通訊應用之間的完整性。該協議由兩層組成:TLS 記錄協議(TLS Record)和 TLS 握手協議(TLS Handshake)。
https://ithelp.ithome.com.tw/upload/images/20220109/2002548195ioFhonEe.png

TLS 1.3 時隔九年對 TLS 1.2 等之前版本的升級版。針對目前已知的安全威脅,IETF(Internet Engineering Task Force,網際網路工程任務組) 正在制定 TLS 1.3 的新標準,使其有望成為有史以來最安全,但也最複雜的 TLS 協議。TLS 1.3 與之前的協議有較大差異,主要在於:

  1. 相比過去的的版本,引入了新的金鑰協商機制 — PSK
  2. 支援 0-RTT 資料傳輸,在建立連線時節省了往返時間
  3. 廢棄了 3DES、RC4、AES-CBC 等加密元件,廢棄了 SHA1、MD5 等雜湊演算法
  4. ServerHello 之後的所有握手訊息採取了加密操作,可見明文大大減少
  5. 不再允許對加密報文進行壓縮、不再允許雙方發起重協商
  6. DSA 證書不再允許在 TLS 1.3 中使用
  7. 更快的交握讓訪問速度體驗更順暢
沛沛 iT邦新手 5 級 ‧ 2022-01-09 15:09:07 檢舉

謝謝大神回覆~

連城 iT邦新手 5 級 ‧ 2022-01-12 10:18:52 檢舉

我彷彿看過這篇文字一字不缺
感恩ctrl c ctrl v

Gary iT邦研究生 1 級 ‧ 2022-01-12 10:53:59 檢舉

簡單理解歷史演進並針對網路分享的文章整理歸納

1
bohan1210
iT邦新手 4 級 ‧ 2022-01-12 17:49:37

老師希望你用wireshark抓封包看看...我想你給出封包分辨出HTTP/HTTPS就good。

這工具滿好取得,網路上也有教學如何使用。建議先不要開Wi-Fi連無線網路,保留有線網路接著,然後就把網路線接上,點一些網頁點一點,但現在真的大多數都是HTTPS網頁,HTTP網頁可以連國光客運官網:http://www.kingbus.com.tw/ 或者是一些國小、國中之類的也還有HTTP網頁。
然後暫停,Protocol找到HTTP,但HTTP我這邊是要看TCP,Info會寫443。
HTTP如下 :
https://ithelp.ithome.com.tw/upload/images/20220112/20103762znKteUDb7J.png
常用port是80,但可能出現88,8088...之類的自定義port

HTTPS如下 :
https://ithelp.ithome.com.tw/upload/images/20220112/201037624JEUpi8TFY.png
port就是443,但可能出現4443之類的自定義port

大概類似這樣,至於學術性的部分就可以參照樓上各位大大提供的詳細資料~

沛沛 iT邦新手 5 級 ‧ 2022-01-12 19:38:18 檢舉

了解~想問問你如何比較tls1.2 1.3封包的差異呢?

bohan1210 iT邦新手 4 級 ‧ 2022-01-14 23:50:43 檢舉

我只知道TLS1.2交握流程比TLS1.3多,所以TLS1.3是比較快速
對於封包內容就沒涉獵這麼深了/images/emoticon/emoticon02.gif

我要發表回答

立即登入回答