- 【前言】此文乃研读《图解HTTP》书之后的读书笔记,把重点整理一遍方便大家。在看此文前,读者如果有时间可以先看看这俩篇文章:网络编程之http协议介绍和全面解析HTTP(一)。此文主要讲解HTTPS的工作机理。
(一).HTTP的缺点
1.通信使用明文可能会被窃听
通信内容在所有通信线路上都有可能早到窥视。
加密处理防止被窃听:通信的加密:HTTP协议没有加密机制,但通过和SSL(Secure Socket Layer,安全套接字)或TLS(Transport Layer Security,安全传输层协议)的组合使用,建立安全通信线路,加密HTTP的通信内容;内容加密:对HTTP协议传输的内容本身加密,要求客户端和服务端同时具备加密解密机制。
2.不验证通信方的身份就可能遭遇伪装
- 任何人都可以发起请求,HTTP协议中的请求和响应不会对通信方进行确认,通信方可能遭遇伪装。
- 虽然HTTP协议无法确定通信方,但是SSL可以,SSL不仅提供加密功能,还使用了一种被称为证书的手段,所以只要能够确认通信方手中持有的证书,即可以判断通信方的真实意图。
(二).HTTP协议+加密+证书+完整性保护=HTTPS
1.HTTPS是身披SSL外壳的HTTP
- 在采用了SSL后,HTTP就拥有了HTTPS的加密、证书和完整性保护这些功能。
2.相互交换密钥的公开密钥加密技术
- 共享密钥加密:加密和解密同用一个密钥的方式,也被叫做对称密钥加密。但是当在互联网上转发密钥时,同样容易被截获,所以该方法有缺陷。
使用俩把密钥的公开密钥加密:又称非对称密钥加密,一把叫做私有密钥(private key),另一把叫做公开密钥(public key)。看图可以理解公开密钥加密的使用方法:发送方使用public key对HTTP报文进行加密,接收方使用private key对HTTP报文进行解密。
HTTPS采用混合加密机制:公开密钥方式处理起来比共享密钥更加复杂,效率较低,所以结合两者优点,利用公开密钥方式安全交换稍后的共享密钥加密中要使用的密钥,再在确保交换的密钥是安全的前提下使用共享密钥加密方式进行通信。
证明公开密钥正确性的证书:数字证书认证机构(CA,Certificate Authority)和其他相关机构颁发的公开密钥证书。
(三).HTTPS的安全通信机制
步骤1: _客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher
Suite)列表(所使用的加密算法及密钥长度等)。步骤2: _服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤3: _之后服务器发送Certificate报文。报文中包含公开密钥证书。
步骤4: 最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。
步骤5: SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。
步骤6: 接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。
步骤7:
客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。步骤8: 服务器同样发送Change Cipher Spec报文。
步骤9: 服务器同样发送Finished报文。
步骤10:服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。
步骤11: 应用层协议通信,即发送HTTP响应。
步骤12: 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。
- 在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。
下面是对整个流程的图解。图中说明了从仅使用服务器端的公开密钥证书(服务器证书)建立HTTPS通信的整个过程。
- 这里提醒读者:图中master secret为共享密钥方法的密钥。
(四).HTTPS的问题:
SSL的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU及内存等资源,导致处理速度变慢。和使用HTTP相比,网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求o响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免会增加。
另一点是SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起HTTP会更多地消耗服务器和客户端的硬件资源,导致负载增强。
针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL通信专用硬件,相对软件来讲,能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效,以分担负载。