2018-08-07_HTTP与HTTPS笔记
HTTP的缺点
通信使用明文, 内容可能被窃听
不验证通信方的身份, 因此有可能遭遇伪装
无法证明报文的完整性, 所有有可能已经遭到篡改
通信使用明文可能会被窃听
1. 通信加密
通过SSL(Secure Socket Layer安全套接层) 或者 TLS(Transprt Layer Security 安全传输层协议)对传输过程进行加密
2. 内容加密
服务器端和客户端之间的加密
不验证对方的身份可能会被伪装
1. 任何人都可以发起请求
HTTP协议通信 不存在确认通信方的处理步骤, 所以任何人都可以发起请求, 而且服务器只要收到请求, 不管对方是谁都会返回一个响应
1. 无法确定请求发送至目标的WEB服务器是否是按真实意图返回响应的那台服务器, 有可能是已伪装的WEB服务器
2. 无法确定响应回到的客户端是否是按照真实意图接受响应的那个客户端
3. 无法确定正在通信的对方是否具有访问权限, 因为某些WEB服务器上保存着重要的信息, 只想发给特定用户通信的权限
4. 无法判定请求是来自何方, 出自谁手
5. 即使是无意义的请求也会照单全收. 无法阻止海量请求下的DoS攻击(拒绝服务攻击)
2. 查明对手的证书
通过使用证书来完成通信双方的身份验证
无法证明报文的完整性
1. 接受到的信息可能有误
如: 中间人攻击(MITM)
2. 如何防止篡改
通常使用 MD5 , SHA-1等散列值校验的方法
PGP创建数字签名
HTTPS
1. HTTPS并不是一种新的协议,而是HTTP通信接口部分用SSL和TLS协议代替
结构变化
HTTP: 应用层(HTTP) -> TCP -> IP
HTTPS: 应用层(HTTP) -> SSL -> TCP -> IP
2. HTTPS采用混合加密机制
1.使用公钥发送共享秘钥
2.使用共享秘钥加密方式
HTTPS通信步骤
客户端通过发送 Client Hello 报文开始 SSL 通信, 报文中包含客户端支持的SSL的指定版本, 加密组件列表(Cipher Suite)(所使用的加密算法以及秘钥长度等)
服务器可进行SSL通信时, 会以 Server Hello 报文作为应答, 和客户端一样, 在报文中包含 SSL 版本以及加密组件, 服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的
之后服务器端发送 Certificate 报文 报文中包含公开秘钥证书
最后服务器发送 Server Hello Done 报文通知客户端, 最初阶段的 SSL 握手协商部分结束
SSL第一次握手结束之后, 客户端以Client Key Exchange 报文作为回应. 报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串. 该报文已用步骤3中的公开密钥进行加密
接着客户端继续发送Change Cipher Spec报文. 该报文会提示服务器, 在此报文之后的通信中会使用Pre-master secret密钥加密
客户端发送Finished报文. 该报文包含链接至今全部报文的整体校验值. 这次握手协商是否能成功, 要以服务器是否能够正确解密该报文作为判定标准
服务器同样发送 Change Cipher Spec报文
服务器同样发送 Finished 报文
服务器和客户端 Finished 报文交换完毕之后, SSL连接就算建立完成. 当然, 通信会受到SSL的保护, 当然, 通信会受到SSL的保护. 从此处开始进行应用层协议的通信, 即发送HTTP请求
应用层协议通信, 即发送HTTP响应
最后由客户端断开连接. 断开连接时, 发送close_notify报文, 上图做了一些省略, 这步之后再发送TCP FIN报文来关闭与TCP的通信
278
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
