360浏览器如何采用新型加密套件

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了360浏览器如何采用新型加密套件相关的知识,希望对你有一定的参考价值。

1、打开360浏览器,点击工具栏的“设置”,在下拉菜单中点击“安全”;

2、在安全设置页面,点击“SSL/TLS”,在SSL/TLS设置页面,点击“添加”,从添加新型加密套件列表中选择要添加的新型加密套件;

3、在添加新型加密套件对话框,选择要添加的新型加密套件,点击添加,完成后即可生效。
参考技术A 您好,360浏览器采用新型加密套件,主要是为了提高用户的安全性。360浏览器采用的新型加密套件可以有效的保护用户的隐私,防止黑客攻击,以及防止网络欺诈等行为。360浏览器采用的新型加密套件可以有效的保护用户的网络安全,提高用户的安全性。360浏览器采用的新型加密套件可以有效的防止网络攻击,保护用户的隐私,以及防止网络欺诈等行为。360浏览器采用的新型加密套件可以有效的提高用户的网络安全性,保护用户的隐私,以及防止网络欺诈等行为。此外,360浏览器采用的新型加密套件还可以有效的防止网络攻击,保护用户的个人信息,以及防止网络欺诈等行为。 参考技术B 打开360安全浏览器后点击右上角的菜单按钮(三横杠图标),在弹出的菜单项中点击【设置】选项。2、进入浏览器设置界面后点击左侧边栏的【安全设置】选项,然后小发猫。1.打开360浏览器,点击右上角"设置"; 2.点击左侧"安全设置"后点击右侧"清理上网痕迹设置"; 3.选择"管理保存过的账号和密码"; 4.在新打开的页面中我们就能看到我等我继续说。 参考技术C 360浏览器采用新型加密套件的目的是为了提高用户的安全性。360浏览器采用的新型加密套件可以有效防止黑客攻击,保护用户的隐私和数据安全。360浏览器采用的新型加密套件可以有效防止黑客攻击,保护用户的隐私和数据安全,并且可以有效防止网络攻击,保护用户的网络安全。360浏览器采用的新型加密套件可以提供更安全的浏览体验,保护用户的个人信息安全,提高用户的安全性

HTTPS背后的加密算法

  1. 浏览器把自身支持的一系列Cipher Suite(密钥算法套件,后文简称Cipher)[C1,C2,C3, …]发给服务器;

  2. 服务器接收到浏览器的所有Cipher后,与自己支持的套件作对比,如果找到双方都支持的Cipher,则告知浏览器;

  3. 浏览器与服务器使用匹配的Cipher进行后续通信。如果服务器没有找到匹配的算法,浏览器(以Firefox 30为例,后续例子中使用的浏览器均为此版本的Firefox)将给出错误信息:

本文将讲述如何探究这一过程。

1. 浏览器

其中security.tls.version.min和security.tls.version.max两项决定了Firefox支持的SSL/TLS版本,根据的介绍,这两项的可选值及其代表的协议是:

  • 0 – SSL 3.0

  • 1 – TLS 1.0

  • 2 – TLS 1.1

  • 3 – TLS 1.2

因此上图的设置说明当前浏览器支持协议的下限是SSL 3.0,上限是TLS 1.2。现在,如果把security.tls.version.min一项改为3,那么浏览器就只支持TLS 1.2了。前文提到,目前只有不足40%的网站支持TLS 1.2,比如Amazon就不在这40%之列,所以此时访问https://amazon.com,就会收到“Secure Connection Failed”的错误信息,如图2所示。

了解了SSL/TLS协议后,可以使用Wireshark(或类似的可以抓去网络包的工具)通过分析网络包的信息,来查看浏览器发送给服务器的所有Cipher。Wireshark是一款的抓包工具。

浏览器会首先发起握手协议,既一个“ClientHello”消息,在消息体中,可以找到Firefox支持的Cipher。在Wireshark中,按照Protocol协议排序,然后从TLS 1.2协议的报文中找到一个Info为“Client Hello”的。选中这个,然后在下面的报文信息窗口中依次找到Secure Sockets Layer -> TLSv1.2 Record Layer -> Handshake Protocal -> Cipher Suites。例子中的第一个Cipher是TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,一共有23个:

如果继续找一个Info为“ServerHello”的报文,可以在类似的位置找到服务器返回的Cipher,在本例中是TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:

关于密钥算法这一长串名字的含义,后面说明。接下来,浏览器就要等待服务器响应它的请求。我们来看一看服务器端都做了些什么。

2. 服务器

让我们以Windows为例。若要查看操作系统支持哪些密钥算法,可以运行gpedit.msc,依次进入”Computer Configuration” -> ”Administrative Templates” -> “Network” -> “SSL Configuration Settings”,这时可以在窗口右边看到”SSL Cipher Suite Order”项:

点击该项后进入”SSL Cipher Suite Order”。这里可以看到操作系统支持的Cipher的集合,以及对不同Cipher的排序

如果需要调整这里排序,或者去掉一些弱的Cipher,可以点击左上角的“Enabled”,然后在“Options”中重写编辑Cipher的列表。如果喜欢命令行,可以通过下面的Powershell命令修改密钥算法套件:


1
Set-ItemProperty -path HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\0001002 -name Functions -value "XXX,XXX,XXX"


那么Cipher的这一长串名字是什么含义呢?其实,每种的名字里包含了四部分信息,分别是

  • 密钥交换算法,用于决定客户端与服务器之间在握手的过程中如何认证,用到的算法包括RSA,Diffie-Hellman,ECDH,PSK等

  • 加密算法,用于加密消息流,该名称后通常会带有两个数字,分别表示密钥的长度和初始向量的长度,比如DES 56/56, RC2 56/128, RC4 128/128, AES 128/128, AES 256/256

  • 报文认证信息码(MAC)算法,用于创建报文摘要,确保消息的完整性(没有被篡改),算法包括MD5,SHA等。

  • PRF(伪随机数函数),用于生成“master secret”。

完全搞懂上面的内容似乎还需要一本书的介绍(我已经力不从心了)。不过大致了解一下,有助于理解Cipher的名字,比如前面服务器发回给客户端的Cipher,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

从其名字可知,它是

  • 基于TLS协议的;

  • 使用ECDHE、RSA作为密钥交换算法;

  • 加密算法是AES(密钥和初始向量的长度都是256);

  • MAC算法(这里就是哈希算法)是SHA。

熟悉了Cipher名字背后的含义后,让我们看看像IIS这样的Web服务器如何选择一个密钥算法呢?假如浏览器发来的密钥算法套件为[C1, C2, C3],而Windows Server支持的套件为[C4, C2, C1, C3]时,C1和C2都是同时被双方支持的算法,IIS是优先返回C1,还是C2呢?答案是C2。IIS会遍历服务器的密钥算法套件,取出第一个C4,发现浏览器并不支持;接下来取第二个C2,这个被浏览器支持!于是,IIS选择了C2算法,并将它包含在一个“ServerHello”握手协议中,发回给客户端。这就有了图5中的结果。

3. 选择

作为浏览器的使用者,你可以让浏览器只能访问支持TLS 1.2协议的站点,以获得更好的安全性,以及更差的体验。作为服务器的维护者,似乎将最强壮的Cipher排在前面是正确的选择。就在前不久,我们开发的一个Web报税系统在一次由第三方进行的安全检查中,被报出的问题之一就是服务器默认的Cipher太弱(RC4-based),于是我们使用了AES-based的Cipher,但是密钥长度只是选择了128,而不是256,背后的担忧主要来自于性能——加密与解密是CPU密集型操作,我们担心到报税忙季时,过强的Cipher会带来性能问题。

其实像Amazon和这些互联网公司都在使用RC4-based的加密算法。这又是一次理论与实践的交锋。至于这次对于的线上系统所做的调整会不会对性能产生影响,几个月后就能见分晓了。


以上是关于360浏览器如何采用新型加密套件的主要内容,如果未能解决你的问题,请参考以下文章

360浏览器老是显示该页面采用不加密的http传输协议 怎么解决?

360浏览器打开电信和联通官网老提示该页面采用不加密http协议,无法正常登陆?

详解 HTTPS 移动端对称加密套件优

HTTPS背后的加密算法

vue获取360浏览器记住密码

nginx + SSL优化配置