转载forcht
一、HTTP的缺点
- 通信使用明文(不加密),内容可能会被窃听。
- 不验证通信方的身份,因此有可能遭到伪装。
- 无法证明报文的完整性,所有有可能已遭到篡改。
二、HTTP+加密+认证+完整性保护=HTTPS
HTTPS并非是应用层的一种新的协议。只是HTTP通信接口部分使用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。
通常,HTTP直接和TCP通信。当使用SSL时,则先和SSL通信,再由SSL和TCP通信。其实HTTPS就是身披SSL协议的HTTP。
三、HTTPS的加密方式(采用混合加密机制)
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤,如下图
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给Web服务器。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
四、如何保证公钥是有效的
在第二步时,服务器发送了一个SSL证书给客户端,SSL证书中包含的具体内容有:
- 证书的发布机构CA
- 证书的有效期
- 公钥
- 证书所有者
- 签名
客户端在接受到服务端发来的SSL证书时,会对证书的真伪进行教验,以浏览器为例:
(1)首先浏览器读取证书中证书所有者、有效期等信息进行一一验证。
(2)浏览器开始查找已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者Ca比对,用于校验证书是否为合法机构办法。
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
(4)如果找到,那么浏览器就会取出已内置颁发者CA的公钥,然后对服务器发来的证书里面的签名进行解密。
(5)浏览器使用相同的hash算法计算出浏览器发来的证书的hash值,将这个计算的hash值与证书中签名做的对比。