HTTP vs HTTPS vs HSTS

最新推荐文章于 2022-06-09 16:55:35 发布
最新推荐文章于 2022-06-09 16:55:35 发布
阅读量511 收藏
点赞数
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phantom_111/article/details/89646544
版权

在推动公司的全站 HTTPS + HSTS ,整理用到的知识,供以后查阅只用。

1. HTTP 背景知识

1.1 HTTP/0.9

单行协议,极其简单。

请求:由单行指令构成,以唯一可用方法 GET 开头,其后跟目标资源路径

GET /mypage.html

响应:只包含响应文档本身

<HTML>
这是一个非常简单的HTML页面
</HTML>

缺点:

  • 只能传输 HTML 文件,无法传输其他类型的文件
  • 无法判断请求执行的结果

1.2 HTTP/1.0

构建可扩展性,HTTP/1.0 扩展了以下的内容,使之用途更广泛:

  • 发送信息中包含协议版本信息
  • 增加状态码用于代表执行结果的成功或者失败
  • 引入 HTTP 头的概念,对于请求和响应,允许传输元数据,使协议变得更灵活,扩展性更强
  • 在 HTTP 头中增加 Content-Type 类型,具备了传输其他类型文档的能力
GET /mypage.html HTTP/1.0
User-Agent: NCSA_Mosaic/2.0 (Windows 3.1)

200 OK
Date: Tue, 15 Nov 1994 08:12:31 GMT
Server: CERN/3.0 libwww/2.17
Content-Type: text/html
<HTML> 
一个包含图片的页面
  <IMG SRC="/myimage.gif">
</HTML>

缺点:

  • 以上新扩展作为一种尝试出现,并未被引入到标准中

1.3 HTTP/1.1

标准化的协议,HTTP/1.0 多种不同的实现方式在实际运行中显得十分混乱,HTTP/1.1 统一了标准并引入多项的改进内容:

  • 默认长连接机制,节省多次 TCP 连接建立消耗的时间
  • Pipelie 机制,允许第一个应答被完全发送之前就发送第二个请求
  • Chunked 编码传输
  • Header 中引入 host
  • 更详细的 Cache 机制

一次完整的请求流程如下:

GET /en-US/docs/Glossary/Simple_header HTTP/1.1
Host: developer.mozilla.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://developer.mozilla.org/en-US/docs/Glossary/Simple_header

200 OK
Connection: Keep-Alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Wed, 20 Jul 2016 10:55:30 GMT
Etag: "547fa7e369ef56031dd3bff2ace9fc0832eb251a"
Keep-Alive: timeout=5, max=1000
Last-Modified: Tue, 19 Jul 2016 00:59:33 GMT
Server: Apache
Transfer-Encoding: chunked
Vary: Cookie, Accept-Encoding

(content)

注意

  • HTTP 协议已经稳定使用超过 15 年,期间进行过两次修订RFC 2616 发布于1999年6月,而另外两个文档 RFC 7230-RFC 7235 发布于2014年6月
  • 由于 HTTP 协议明文传输数据,基于安全的考虑,网景公司在 HTTP 的基础上创建了一个额外的加密传输层:SSL。(SSL 1.0 没有在公司以外发布过)

1.4 HTTP2

为了更优异的表现,谷歌实践了一个实验性的协议 SPDY 协议旨在解决 HTTP/1.x 中存在的诸如连接复用、头部冗余等问题。SPDY 协议位于 HTTP 和 SSL 之间,属于应用层协议,主要特性如下:

  • 多路复用
  • 请求优先级
  • header 压缩
  • 服务端推送

SPDY 协议成为了 HTTP/2 协议的基础,可以看到 HTTP2 协议的很多特性跟 SPDY 协议提供的是有主体是重合的,但仍有少许差异点:

  • HTTP/2 可以在 TCP 上直接使用,不像 SPDY 那样必须在 TLS 上
  • 添加了新的头部压缩算法 HPACK
  • 添加了控制帧的种类
  • 完善协议商讨和 Server Push 的流程

2. HTTPS 出现的原因

2.1 原因

一种新技术的出现必然是因为当前技术无法满足当时社会的要求。从安全性的角度对比下 HTTP 和 HTTPS 协议:

安全性HTTPHTTPS
窃听风险信息明文传递,可被拦截窃听信息加密传输
篡改风险被拦截下的信息可被篡改信息校验,接收方可通过校验机制发现篡改行为
伪装风险无法验证对端的真实性身份校验

注意

  • 由于对数据进行加解密,决定了它天生比 HTTP 慢

2.2 HTTPS 协议组成

HTTPS 是在 HTTP 上建立 SSL/TLS 加密层,并对传输数据进行加密。
在这里插入图片描述

SSL/TLS 协议的基本过程是:

  1. 客户端向服务端索要并验证公钥
  2. 双方协商生产「对话密钥」
  3. 双方使用对话密钥通信

步骤1、2 为「握手阶段」,完成的详细过程见下图:

在这里插入图片描述

「握手阶段」所有的通信都是明文的

  1. (ClientHello)客户端向服务端提供以下信息:
    • 支持的协议版本
    • 客户端生成的随机数,稍后用于生成「对话密钥」
    • 支持的加密方法
    • 支持的压缩方法
  2. (ServerHello)服务端回应:
    • 确认使用的加密通信协议版本
    • 服务端生成的随机数,稍后用于生成「对话密钥」
    • 确定使用的加密方法
    • 服务器证书
  3. 客户端回应
    • 一个随机数。用于服务器公钥加密,防止被窃听
    • 编码改变通知,表示随后的信息都将用双方协商好的加密方法和密钥发送
    • 客户端握手结束通知,表示客户端的握手阶段已经结束
  4. 服务器最后回应
    • 编码改变通知,表示随后的信息都将用双方协商好的加密方法和密钥发送
    • 服务器握手结束通知,表示服务器的握手阶段已经结束。

以上是从理论的层面上大致了解了下 SSL/TLS 做了什么,后面文章会从实际使用中抓包分析真实过程。

3. HSTS 解决了什么问题

3.1 概念

HSTS HTTP 严格传输安全,网站可以选择使用 HSTS 策略,来让浏览器强制使用 HTTPS 与网站进行通信,以减少回话被劫持的风险。

3.2 作用

抵御 SSL 剥离攻击, SSL剥离的实施方法是阻止浏览器与服务器创建HTTPS连接。它的前提是用户很少直接在地址栏输入https://,用户总是通过点击链接或3xx重定向,从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://,达到阻止HTTPS的目的。

HSTS 可以很大程度上解决 SSL 剥离攻击,因为只要浏览器与服务器创建过一次安全连接,之后浏览器会强制使用 HTTPS。

4. 待扩展知识点

  • 长连接 & Pipelie 机制
  • SPDY 协议
  • SSL & TLS 协议实现
  • HSTS demo

5.参考资料

phantom_111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
主要介绍了nginx开启HSTS让浏览器强制跳转HTTPS访问详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTTPHTTPS区别
图图不糊涂的博客
04-25 175
HTTP:超文本传输协议,通过明文,即不经过任何加密的方式,在浏览器和服务器之间发送内容。如果攻击者截取了传输报文,就能轻松地读取其中的信息。所以这种方式非常不适合传输一下例如账号、密码等敏感数据。他的默认端口号是80.HTTPS:安全套接字层超文本传输协议,他就是加入了SSL协议的HTTP,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。它的默认端口号是443.那么他们两个的...
Http VS Https
weixin_44471490的博客
09-14 466
HTTP 的缺陷: 通信使用明文(不加密),内容可能会被窃听; 不验证通信方的身份,因此有可能遭遇伪装; 无法证明报文的完整性,所以有可能已遭篡改 而 HTTPS 就很好地解决了这些问题! 下面的内容可以不说,只是帮助记忆,用上面概括的语言回答即可。 针对第一点 通信的加密 一种方式就是将通信加密。HTTP协议中没有加密机制,但可以通过和 SSL(Secure Socket Layer,安全套接层)或 TLS(Transport Layer Security,安全传输层协议)的组.
http vs https
robot011的博客
02-23 231
http vs https HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(WWW = World Wide Web)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。 一、 http 协议基于TCP协议进行传输,默认端口是80 https 基于TLS/SSL协议加密进行TCP传输,默认端口是443 二、特点 http协议特点: 1、简单快速 2、灵活 3、无状态,每次请求都是独立的,上...
HTTP VS HTTPS
技术大观园
02-28 1715
在URL前加https://前缀表明是用SSL加密的。你的电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议  要比http协议安全 HTTPS
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
01-07
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web ...
burp https证书与关闭HSTS正确姿势
11-24
burp https证书与关闭HSTS正确姿势,决定干货,希望大家喜欢。
计算机网络 —— http vs https
看了就会暴富的博客!
08-24 288
一、httphttps的对比   1、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。   2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。   3、httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。   4、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 二、一次完整的HTTP请求所经历的7个步骤
HTTPHTTPS的对比
代码笔记本
02-09 2004
文章目录结构对比加密过程中间信息篡改验证远端服务器身份认证总结 结构对比 http:80 https:443 加密过程 对称加密的一种典型方式比如异或加密。但是问题在于server端如何获取密钥,密钥的安全无法保证,密钥没有加密存在被劫持可能。解决方法是先采用非对称加密。 https密钥协商过程:server->公钥->client对称密钥。用公钥加密->server->解密->server拿到对称密钥。至此,双方通信采用对称密钥进行。 为什么不直接采用非对称加密进行传输呢
【计算机网络】HTTP协议 vs HTTPS协议
茶色喵的博客
08-03 334
超文本传输协议,HTTP(HyperText Transfer Protocol)是一个应用层协议,它使用TCP连接进行可靠的传送。HTTPS 是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
HTTP协议 VS HTTPS协议
oyq28的专栏
08-26 612
 HTTP1.1(Hypertext Transfer Protocol Vertion 1.1)超文本传输协议-版本1.1  它是用来在Internet上传送超文本的传送协议。它是运行在TCP/IP协议族之上的HTTP应用协议,它可以使浏览器更加高效,使网络传输减少。任何服务器除了包括HTML文件以外,还有一个HTTP驻留程序,用于响应用用户请求。您的浏览器是HTTP客户,向服务器发送请
Http vs Https
qq_52206533的博客
04-16 492
文章目录`1.HTTP`2. `HTTPS`2.1 HTTPS是什么?2.2加密2.2.1对称加密(DES)2.2.2非对称加密2.2.3 认证2.2整个流程 1.HTTP 浏览器既解析http数据,又body,web服务器只解析http数据。 2. HTTPS 2.1 HTTPS是什么? HTTPS:基于HTTP数据+SSL/TLS协议 http明文传输,https是加密后的数据传输,相对于http来说更加安全。 2.2加密 2.2.1对称加密(DES) 对称加密:加密和解密使用相同的密钥。 2.2.
C# visual studio 2019 https 多客户端联调
IT匠人的博客
06-09 471
C# visual studio 2019 不能ip访问 Bad Request - Invalid Hostname
httphttps详解
热门推荐
dvlinker的技术专栏
04-30 2万+
httphttps详解
ftp协议是一种用于_______的协议_HSTS一种新的Web安全协议
weixin_39618597的博客
11-21 191
简介HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版...
开启HSTS强制https配置
最新发布
04-04
HSTSHTTP Strict Transport Security)是一种安全协议,可以强制网站使用 HTTPS 加密连接,从而防止恶意攻击者通过中间人攻击窃取用户的敏感信息。启用 HSTS 需要在网站服务器上配置,下面是一些常见的 HSTS 配置方法: 1. Apache 服务器:在 Apache 的配置文件中添加以下行: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" 2. Nginx 服务器:在 Nginx 的配置文件中添加以下行: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; 3. IIS 服务器:在 IIS 中,可以使用 HTTP 响应头模块来添加 HSTS 头。在“配置编辑器”中选择“system.webServer/httpProtocol/customHeaders”,然后添加以下行: <add name="Strict-Transport-Security" value="max-age=31536000" /> 无论使用哪种方法,都应该将 HSTS 头中的 max-age 设置为足够长的时间,以确保用户在访问网站时始终使用 HTTPS 连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值