以下为最近在读《图解http》关于https章节的个人笔记,可能并不适用所有人阅读 (狗头
前言
最近在读《图解http》,而且面试中经常有问到我https和http的区别,所以自己根据书中的内容大概总结一下
http的不足
-
通信使用明文,内容可能会被窃听
-
不验证通信方的身份,因此有可能遭遇伪装
-
无法证明报文的完整性,所以有可能已遭串改
1.通信使用明文可能会被窃听
由于http本身不具备加密的功能,所以也无法做到对通信整体(使用http协议通信的请求和响应的内容)进行加密。即http报文使用明文方式发送。要加密的对象可以有这么几个:
-
通信的加密
通过SSL(Secure Socket Layer)后TLS(transport Layer Srcurity)的组合使用,加密http的通信内容,与SSL组合使用的http被称为https
-
内容的加密
将参与的内容本身加密的方式。由于http协议中没有加密机制,那么就对http协议传输的内容本身加密。即把http报文里所含的内容进行加密处理。
这种情况加,客户端需要对http报文进行加密处理后在发送请求。所以,前提是要求客户端和服务端同时具备加密和解密机制
2.不验证通信方的身份,就可能遭遇伪装
http协议中的请求和响应不会对通信方进行确认。也就是说存在“服务器是否就是发送请求中URI真正指定的主机,返回的响应是否真的返回到时间提出请求的客户端”等类似问题
任何人都可以发起请求
查明对方的证书
虽然是以http协议无法确定对方,但是是以SSL则可以,SSL不仅可以加密,而且还提供了一种叫做证书的手段,可用于确定方。
证书是由值得信赖的第三方机构颁发,用以证明服务器和客户端都是实际存在的
3.无法证明报文的完整性,可能已被串改
由于http无法证明报文的完成性,所以在请求或响应送出后直到对方接受的这段时间内,及时请求或响应的内容篡改,也没办法知道
-
如何防止篡改
签名加密
http与https
-
http加上加密处理和认证,以及完整性保护后即是https
-
https是身披SSL外壳的http
所以,https是在http向tcp通信的中间多加了一层SSL
一般有两种加密方法
-
共享秘钥加密(对称秘钥加密)
加密和解密同用一个秘钥的方式成为共享秘钥加密,也被叫做对称秘钥加密
内容使用秘钥加密传输,服务端使用秘钥解密内容,及时在传输中攻击者获取了内容,没有秘钥他也无法得知内容是什么,反之,攻击者获得了秘钥,加密也失去了意义
-
使用两把公开的秘钥加密(非对称加密)
客户端使用公钥加密,服务端使用私钥解密
但是怎么才能证明公开的秘钥就是对应服务器所发行的公开秘钥呢,这又涉及到另一个概念
证书
什么是证书的,简单来说就是一些大家公认的可信赖的第三方机构颁发的证书
https使用混合加密
因为非对称加密是用两对秘钥加密解密的,所以处理起来会比较耗时,要是所有内容都用非对称加密的话,性能上就会变得很慢,所以https充分利用两者优势,采用混合加密,即:
秘钥使用非对称加密,后续的通信使用对称加密
总结
个人理解,如果错误欢迎指出
- https 为了解决http传输不安全而出现的
- https本质是在http和tcp中多加了一层SSL/TSL
- https使用混合加密,密钥使用非对称,通信使用对称
- https密钥需要由第三方机构颁发