ВопросыТренажер вопросовТестыЗадачи
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

Как работает последовательность handshake при HTTPS-соединении?

HTTPS (Hypertext Transfer Protocol Secure) — это расширение HTTP, которое добавляет уровень безопасности с помощью протоколов SSL/TLS. Важным аспектом HTTPS является процесс установления защищенного соединения, известный как " handshake" (рукопожатие). Давайте подробно рассмотрим, как работает этот процесс, шаг за шагом.

Шаги процесса Handshake

  1. Клиентское приветствие (Client Hello):
    • Клиент (например, ваш веб-браузер) отправляет серверу сообщение "Client Hello". Это сообщение включает:
      • Версию TLS, поддерживаемую клиентом (например, TLS 1.2 или TLS 1.3).
      • Список криптографических алгоритмов (шифров), которые клиент поддерживает.
      • Случайное число (random nonce) для использования в дальнейших вычислениях.
    Client Hello
Version: TLS 1.2
Cipher Suites: [TLS_RSA_WITH_AES_256_CBC_SHA, ...]
Random: [сгенерированное число]
  2. Серверное приветствие (Server Hello):
    • Сервер отвечает сообщением "Server Hello", которое включает:
      • Выбранную версию TLS.
      • Выбранный криптографический алгоритм (шифр).
      • Серверное случайное число.
    Server Hello
Version: TLS 1.2
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA
Random: [сгенерированное число]
  3. Сертификат:
    • Сервер отправляет свой цифровой сертификат, который содержит его публичный ключ и подтверждение от доверенного центра сертификации (CA).
    • Клиент проверяет сертификат на действительность и соответствие домену, к которому он пытается подключиться.
  4. Обмен ключами (Key Exchange):
    • После проверки сертификата клиент генерирует "предварительный секрет" (pre-master secret), шифрует его с помощью публичного ключа сервера и отправляет серверу.
    • Сервер, использующий свой приватный ключ, расшифровывает это сообщение для получения предварительного секрета.
  5. Секретные ключи:
    • Оба, клиент и сервер, используют предварительный секрет и случайные числа, чтобы сгенерировать набор ключей для шифрования и шифрования сообщений.
  6. Завершение рукопожатия:
    • Клиент отправляет "Finished" сообщение, зашифрованное с использованием сгенерированного ключа.
    • Сервер отвечает аналогичным "Finished" сообщением. На этом этапе соединение считается защищённым.

После выполнения всех этих шагов, клиент и сервер могут обмениваться данными, используя защищенное шифрование.

Пример использования HTTPS в приложении

Вот пример простого веб-сервера на Node.js, который использует HTTPS:

const https = require('https');
const fs = require('fs');

// Загрузка SSL сертификата и ключа
const options = {
    key: fs.readFileSync('server.key'), // приватный ключ
    cert: fs.readFileSync('server.cert') // сертификат
};

// Создание HTTPS сервера
https.createServer(options, (req, res) => {
    res.writeHead(200);
    res.end('Hello, HTTPS world!');
}).listen(443, () => {
    console.log('Server running at https://localhost/');
});

Этот код создает HTTPS сервер, который будет прослушивать входящие запросы на порту 443. Перед использованием убедитесь, что у вас есть действующий SSL сертификат и приватный ключ.

Заключение

Процесс handshake в HTTPS обеспечивает безопасный обмен данными между клиентом и сервером, минимизируя риски перехвата данных. Понимание этого процесса важно для многих приложений, которые требуют обеспечения конфиденциальности и целостности данных.

Предыдущий вопрос
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Следующий вопрос
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Содержание:
Шаги процесса Handshake
Пример использования HTTPS в приложении
Заключение
Редактировать