HTTPS原理解析

最新推荐文章于 2019-06-26 14:33:50 发布

走出去拍拍照

最新推荐文章于 2019-06-26 14:33:50 发布

阅读量195

点赞数

分类专栏：杂文章标签： HTTP HTTPS

本文链接：https://blog.csdn.net/iva_brother/article/details/90317778

版权

杂专栏收录该内容

11 篇文章 0 订阅

订阅专栏

基本概念

1、HTTP 协议（HyperText Transfer Protocol，超文本传输协议）：是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。

2、HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）：可以理解为HTTP+SSL/TLS，即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

3、SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

4、TLS（Transport Layer Security，传输层安全）：其前身是 SSL，它最初的几个版本（SSL 1.0、SSL 2.0、SSL 3.0）由网景公司开发，1999年从 3.1 开始被 IETF 标准化并改名，发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞，已经很少被使用到。TLS 1.3 改动会比较大，目前还在草案阶段，目前使用最广泛的是TLS 1.1、TLS 1.2。

5、对称加密

有流式、分组两种，加密和解密都是使用的同一个密钥。

例如：DES、AES-GCM、ChaCha20-Poly1305等

6、非对称加密

加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。非对称加密算法性能较低，但是安全性超强，由于其加密特性，非对称加密算法能加密的数据长度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

7、哈希算法

将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

8、数字签名

签名就是在信息的后面再加上一段内容（信息经过hash后的值），可以证明信息没有被修改过。hash值一般都会加密后（也就是签名）再和信息一起发送，以保证这个hash值不被修改。

HTTP访问过程

HTTP请求过程中，客户端和服务器端的数据都是明文传输的，这个在不重要的文件时没有影响，但是当传输重要数据时，容易被第三方攻击截取，比如黑客冒充服务器端，很容易得到你的关键数据。所以HTTP是相当不安全的。这个时候我们就要请出我们的HTTPS了！

HTTPS的进化过程

既然HTTP那样不安全，我们就可以给这个过程进行加密呗。那我们就对于我们的传输的数据进行加密，应用堆成加密算法，也就是客户端和服务器端用到的密钥是一样的。这样看起来似乎安全了一些，但是如果有一天，密钥被破解了，那么服务器和客户端传输的内容又要被统统被发现了！而且不同的客户端和服务器端数量庞大，维护这么多的密钥，成本太大了！

既然对称加密不安全，我们就试试非对称加密，也就是利用公钥和私钥来维护，至少可以减少维护成本，但是这个问题就是公钥是公开的，大家都知道，这个时候黑客破解了私钥，也就把整个过程都暴露了！看来这样还是不行！

那么我们利用将两者结合呢。客户端用公钥加密对称算法和对称密钥，这个时候只能服务器端的私钥才能解开，虽然黑客有公钥，但是无法破解公钥加密饿的东西的！这样后续客户端和服务器端就可以利用特定的加密算法进行对称加密了。但是，我们怎么把那个公钥告诉客户端呢？

这个时候就是我们的终极武器，SSL证书了！这个SSL证书包括：证书的发布机构CA、证书的有效期、公钥、证书所有者、签名。

客户端在接受到服务端发来的SSL证书时，会对证书的真伪进行校验，以浏览器为例说明如下：

（1）首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验。

（2）浏览器开始查找操作系统中已内置的受信任的证书发布机构CA，与服务器发来的证书中的颁发者CA比对，用于校验证书是否为合法机构颁发。

（3）如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。

（4）如果找到，那么浏览器就会从操作系统中取出颁发者CA的公钥，然后对服务器发来的证书里面的签名进行解密。

（5）浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比。

（6）对比结果一致，则证明服务器发来的证书合法，没有被冒充。

（7）此时浏览器就可以读取证书中的公钥，用于后续加密了。

总结

综上所述，相比HTTP协议，HTTPS协议增加了很多握手、加密解密等流程，虽然过程很复杂，但其可以保证数据传输的安全。所以在这个互联网膨胀的时代，其中隐藏着各种看不见的危机，为了保证数据的安全，维护网络稳定，建议使用HTTPS。

HTTPS 缺点：

（1）SSL 证书费用很高，以及其在服务器上的部署、更新维护非常繁琐

（2）HTTPS 降低用户访问速度（多次握手）

（3）网站改用HTTPS以后，由HTTP跳转到 HTTPS 的方式增加了用户访问耗时（多数网站采用302跳转）

（4）HTTPS 涉及到的安全算法会消耗 CPU 资源，需要增加大量机器（https访问过程需要加解密）

参考文章

https://zhuanlan.zhihu.com/p/57142784

http://www.cnblogs.com/zhuqil/archive/2012/07/23/2604572.html

https://blog.csdn.net/zhongzh86/article/details/69389967

走出去拍拍照

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
HTTPS原理解析

基本概念1、HTTP 协议（HyperText Transfer Protocol，超文本传输协议）：是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。2、HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）：可以理解为HTTP+SSL/TLS，即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 ...
复制链接

扫一扫