HTTPS是什么?
很多人看到HTTPS就会想到HTTP,因为它们毕竟就差了一个字母,那它们之间到底有什么关系呢?请看:
HTTPS = HTTP + 加密处理 + 认证 + 完整性保护
那又是为什么要这样呢?我们需要了解HTTP的一些缺点:
- 通信使用明文,内容容易被窃听:TCP/IP是可能被窃听的网络
- 不验证通信方身份,有可能遭到伪装:任何人都可以发起请求
- 无法验证报文的完整性,可能遭到篡改:接收到的内容可能遭到中间人攻击
这个时候,HTTP的这些缺点通过SSL可以弥补,所以就诞生了HTTPS。
HTTPS采用混合加密机制
公开密钥加密:也称为非对称加密(asymmetric cryptography),一种密码学算法类型,在这种密码学方法中,需要一对密钥,一个是私人密钥,另一个则是公开密钥。 这两个密钥是数学相关,用某用户密钥加密后所得的信息,只能用该用户的解密密钥才能解密。
共享密钥加密:加密和解密都是用相同密钥的一种加密方式,由于使用的密钥相同,所以这种算法也被称为“对称加密”,实现共享加密的算法有: 「AES」 、 「DES」 、 「动态口令」 等,其中AES的应用最为广泛。
HTTPS在交换密钥环节使用公开密钥加密的方式,在之后的建立通信交换报文阶段使用共享密钥加密的方式。
HTTPS的安全通信机制
通信步骤如下:
- 客户端通过发送ClentHello报文开始SSL通信,报文中包含客户端支持的SSL指定版本,加密组件列表
- 服务器可进行SSL通信时,以ServerHello报文作为应答,报文中包含SSL版本和加密组件,加密组件是从接受到的客户端加密组件中筛选出来的
- 服务器发送Certificate报文,该报文包含公开密钥证书
- 服务器发送ServerHelloDone报文通知客户端,最初的SSL握手协商部分结束
- 客户端以ClientKeyExchange报文作为回应,报文中包含通信加密中使用的一种Pre-master secret的随机密码串
- 客户端继续发送Change Ciper Spec报文,该报文提示服务器之后通信采用Pre-master secret密钥加密
- 客户端发送Finished报文,该报文包含连接至今全部报文的整体校验值。这次握手是否成功以服务器是否正确解密该报文作为判定标准
- 服务器同样发送Change Cipher Spec报文
- 服务器同样发送Finished报文
- 服务器和客户端的Finished报文交换完毕后SSL连接完成,通信收到SSL保护。从此处开始进行应用层协议的通信,即发送HTTP请求
- 应用层协议通信,即发送HTTP响应
- 最后由客户端断开连接
图片来源:《图解HTTP》
在以上流程中,应用层发送数据时会附加一种叫MAC的报文摘要,能够查知报文是否遭到篡改,从而保证报文完整性。
为什么不用HTTPS取代HTTP?
与纯文本通信相比,HTTPS消耗的CPU以及内存资源无疑是更多的,并非每次通信都需要通信,只是在涉及到敏感数据的时候才会使用HTTPS加密通信。
同时,使用HTTPS成本无疑也是更高的,因为进行HTTPS通信必须需要购买证书,对于一些个人网站来说并不划算。
138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
