http的缺点
了解https之前需要先了解https产生的原因,https旨在提供更安全的http通信,众所周知,http有很多的问题。
通信内容不加密
通信使用明文进行通信,内容可能会被窃听:按照TCP/IP协议族的工作机制,所有的通信内容都有可能遭到窥视,即使,加密过的通信内容也是一样的,只是说加密过的通信内容,比较难的被人破解。
无法验证通信方的身份
http协议通信时,不会对通信方进行身份的确认,这样会造成很多的问题:
- 即使是无意义的请求也会处理,可能遭受Dos攻击,消耗你的服务器资源,最后造成瘫痪
- 无法确认客户端、服务器的身份,可能会遭受钓鱼攻击,也不能根据客户端的身份确定访问权限
无法验证HTTP报文的完整性
由于无法验证报文的完整性,在请求或响应发送到目的地之前的时间内,报文可能遭到篡改,但是没办法获悉。
什么是https
https = http + 加密 + 认证 + 完整性保护 = http + ssl(tsl)
https并非是一种新的协议,只是http通信接口部分用SSL和TLS协议代替而已。通常http直接和tcp通信,当使用ssl后则演变为先和ssl通信,再由ssl和tcp通信了。ssl主要提供加密手段和认证证书确保安全的http通信。证书的颁发交给可靠的第三方机构。
加密
防止窃听最普及的方法就是加密技术,了解https的通信加密之前,先了解两个名词:对称加密和非对称加密。对称加密只有一个秘钥,加密和解密都是用一个秘钥,所以需要保证秘钥的安全。非对称加密有公钥和私钥一对秘钥,私钥只有自己知道,公钥是公开的,所以通常使用公钥进行加密,私钥进行认证。而https就是通过使用这两种加密方式混合加密的机制保证通信内容的安全性。
主要的通信内容加密是通过对称加密的方式,为什么不是非对称加密方式,这是因为非对称加密的方式相对较慢。使用对称加密进行加密的前提就是需要将唯一的秘钥安全的传递到客户端和服务端的手中,https的做法是服务端生成一对公私钥,将公钥给客户端,客户端产生用于对称加密的秘钥,通过服务端的公钥加密后发送给服务端,服务端用自己的私钥解密,这样就拿到了对称加密的唯一秘钥。
但是这其中还有一个值得思考的问题,客户端如何保证拿到的公钥就是正确的服务端提供的公钥呢?如果是已经被攻击者掉包过的公钥,客户端拿着假的公钥去将对称加密的秘钥加密,然后发送出去,被攻击者拦截到,对称加密的秘钥就泄露了~~
如何解决呢?这个时候就需要数字证书和和第三方的机构了,由第三方机构对服务端的公钥进行认证,确保公钥的可靠性!认证通过认证机构的私钥进行,此处认证机构的公开秘钥同样也需要安全的转交到客户端的手中。所以,多数浏览器开发商发版本前会事先植入常用认证机构的公开秘钥!
身份认证
不管是服务端还是客户端的身份认证,都是相同的,由第三方机构颁发证书给你,通信方收到证书查验证书的可靠性~~
防止篡改
为报文生成摘要信息,如果内容遭到篡改,则摘要不同。
SSL和TSL的关系
TSL是SSL之后的一种新协议,由IETF(Internet工作任务小组)制定,它建立在SSL3.0的基础之上,是SSL3.0的后续版本。
扫一扫
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
