HTTP与HTTPS总结

最新推荐文章于 2022-04-23 19:29:04 发布
最新推荐文章于 2022-04-23 19:29:04 发布
阅读量543 收藏
点赞数
分类专栏: 知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012836896/article/details/88830685
版权

概述 

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

http协议的缺点

  • 通信使用明文,内容可能被窃听(重要密码泄露)
  • 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造)
  • 无法证明报文的完整性,有可能已遭篡改(运营商劫持)

https协议的缺点

  • HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
  • HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
  • SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用;
  • SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗;
  • HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用;
  • 最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。

 

HTTP与HTTPS区别

HTTP协议传输的数据都是未加密的,也就是明文的,非常不安全,为了保证这些隐私数据能加密传输,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。

1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。

2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、http的连接简单,是无状态的;HTTPS协议是由SSL+HTTP构建的可进行加密传输、身份认证的网络协议,比http安全。

 

HTTPS的工作原理

我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。

1、客户端发起HTTPS请求

就是用户在浏览器里输入一个https网址,然后连接到server的443端口。

2、服务端的配置

采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面,这套证书其实就是一对公钥和私钥。

3、传送证书

这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。

4、客户端解析证书

这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。客户端的浏览器与Web服务器会协商SSL连接的安全等级,也就是信息加密的等级。

(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验;
(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发;
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的;
(4)如果找到,那么浏览器就会从操作系统中取出颁发者CA 的公钥(多数浏览器开发商发布;
版本时,会事先在内部植入常用认证机关的公开密钥),然后对服务器发来的证书里面的签名进行解密;
(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比;
(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充;
(7)如果证书没有问题,此时浏览器就可以读取证书中的公钥,用于后续加密了,生成一个随机值,然后用证书对该随机值进行加密,这样除了有私钥的服务端,谁都看不到这个随机数。

5、传送加密信息

这部分传送的是用服务端传过来的公钥加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了(也就是普通的对称加密)。

6、服务端解密信息

服务端用私钥解密后,得到了客户端传过来的随机值,然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥(这里指那个随机数)通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥(随机值嘛),所以只要加密算法够彪悍,私钥够复杂,数据就够安全。

7、传输加密后的信息

这部分信息是服务端用私钥加密后的信息,可以在客户端被还原。

8、客户端解密信息

客户端用之前生成的随机数(私钥)解密服务段传过来的信息,于是获取了解密后的内容。

原理如下图:

中文图解:

 

问题

1、怎么保证保证服务器给客户端下发的公钥是真正的公钥,而不是中间人伪造的公钥呢?

此图表明客户端可以鉴别公钥的真假。

2.证书如何安全传输,被掉包了怎么办?

中间人虽然有权威机构的公钥,能够解析证书内容并篡改,但是篡改完成之后中间人需要将证书重新加密,但是中间人没有权威机构的私钥,无法加密,强行加密只会导致客户端无法解密,如果中间人强行乱修改证书,就会导致证书内容和证书签名不匹配。

 

假如子弹换成糖果
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPHTTPS总结
wolfGuiDao的博客
04-02 807
HTTP&HTTPS 文章目录HTTP&HTTPS一、HTTP协议的特点1. HTTP是不保存状态的协议2. 持久连接节省通信量3. 通信使用明文可能会被窃听4. 不验证通信方的身份可能被伪装5. 无法证明报文的完整性,可能被修改二、HTTPS1. HTTPS是身披SSL外衣的HTTP2. 相互交换密钥的公开密钥加密技术3. HTTPS协议的缺陷三、总结1.HTTP特点:2.HTT...
httphttps详解
dvlinker的技术专栏
04-30 2万+
httphttps详解
httphttps 简单总结
qq_31436337的博客
07-11 186
前言 最近面试被问到 httphttps 的区别,呃。。。只能回答 https 是加密传输的,更安全之类的,再多问一句为什么 https 是安全的,而 http 不安全?只能尴尬十秒,然后下一题…于是,这里对 httphttps 做一个简单总结。 对称加密和非对称加密 首先需要理解这两个概念,这里我直接截了郭霖大婶的文章(文末有链接) 理解了这两个概念之后,接下来看几个常见问题 为什么 http 是不安全,而 https 是安全的呢? 答:http 采用的是明文传输,而我们知道,客户端发送
https总结
02-03 763
HTTP的缺点: 1.通信使用明文(不加密),内容可能被窃听 2.不验证通信方的身份,因此有可能遭遇伪装 3.无法证明报文的完整性,所以有可能已遭篡改 加密方式: 通信加密:用SSL建立安全通信后,就可以在这条线路上进行HTTP通信了,与SSL组合的HTTP叫做HTTPS或则HTTP over SSL 内容加密:由于HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身
httphttps 总结
qq_19917081的博客
01-06 249
转自:http://www.cnblogs.com/ok-lanyan/archive/2012/07/14/2591204.html HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之中,而且HTT
httphttps知识点总结
charlene0824的博客
08-04 1001
HTTPHTTP是一种无状态的传输协议,它随着事件不断演变,目前已经演变到HTTP2.0版本HTTP 0.9HTTP0.9作为HTTP协议的第一个版本,是非常弱的,请求只有一行,比如GET www.csdn.com 从如此简单的请求体,没有POST、没有HTTP头可以看出,那个时代的HTTP客户端只能接收一种类型:纯文本。并且,如果得不到所求的信息,也没有404、500等错误状态码信息。HTTP 1
HTTPHTTPS的区别以及SSL/TLS加密知识总结
q160336802的博客
04-23 5780
HTTP HTTPS HTTPHTTPS的区别 SSL/TLS工作原理和握手过程
nginx http跳转到https总结
zzhongcy的专栏
04-08 1万+
查找了一些资料,在这里终结一下,提供给大家参考。 Nginx环境下强制httphttps设置方法: 方法一: 下面代码照搬过去就行。无需做任何修改。春哥技术博客推荐此种方法,非常简单,改完以后实时生效,不用重启服务器。 if ($scheme = http ) { return 301https://$host$request_uri; } 方法二: 下面代码照搬过去就行。无需做任何修改。 if ($server_port = 80 ) { return 301...
httphttps协议学习总结
张雨的博客
02-03 303
HTTP协议简介 超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。 超文本传输协议是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器 基于TCP/IP来建立通信 URI和URL的区别 URI,是uniform resource identifier,统一资源标识符,用来唯一标识一个资源。 例如: file://a:1234/b/c.
总结https
w2009211777的专栏
04-07 261
一、HttpsHttp的主要区别 申请证书:https协议需要到ca申请证书,一般免费证书很少,需要交费。 安全性:http是超文本传输协议,信息是明文传输,连接是不安全的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。 默认端口:httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 http的连接是不安全的; 二、为什么需要申请ca证书? CA其实是Certification Authority
HTTPS简单总结
陈不懂的博客
01-13 223
    HTTPS全称Hyper text transfer protocol over secure Socket Layer超文本传输安全协议,是以安全为目标的http通道。即http下加入SSL/TLS层,HTTPS的安全基础是SSL,HTTPSHTTP跟TCP之间多了一个加密/身份校验层。     HTTP没有使用加密技术,传输内容明文裸奔在通信管道中,容易被截获报文并解析内容,不利于...
httpHttps的区别个人总结
Xiaoqiu的博客
04-12 158
HTTPSHTTP的区别主要如下: HTTPS协议="SSL+HTTP协议"构建的可进行加密传输、身份认证的网络协议,是HTTP的安全版。 工作层:在OSI网络模型中,HTTP工作于应用层,而HTTPS工作在传输层。 连接端口:HTTP标准端口是80,而HTTPS的标准端口是443。 传输方式:HTTP是超文本传输协议,信息是明文传输,而HTTPS是SSL加密传输协议。 工作耗时:HTTP耗...
HTTPS——学习总结
PdKingLiu
09-24 1150
概述 HTTPS协议是以安全为目标的HTTP通道,是安全版的HTTP。 主要是在HTTP下加入SSL、TLS层。 SSL是HTTPS安全的基础。默认端口号为443。 HTTP存在的风险: 窃听:HTTP采用明文传输 篡改:第三方可以修改通信内容 冒充:第三方 ...
HTTPS要点总结
老痒的农舍
03-23 534
HTTPS要点总结 1.HTTPS的特点 HTTPS的本质还是HTTP 在TCP层加上了SSL或TLS 端口: HTTP:80 HTTPS:443 2.HTTPS安全性 1)提供验证服务,验证本次会话身份的合法性 2)提供加密服务,强加密机制能保证通信中的消息不被破译 3)提供防篡改服务,利用Hash算法对消息进行签名,通过验证签名保证通信内容不被篡改 3.图解 |----------------------------------------| |
HTTPS 认识的总结
小金子的专栏
02-15 314
前言 首先特别感谢各位分享内容的博主,这里对我学习到的做一个总结 HTTPS 是什么 其实 HTTPS 就是 HTTP + SSL/TLS 的单词的缩写 SSL 是什么这里不做阐述,贴出一个某度的标准解释: 点我了解SSL(Secure Sockets Layer) 点我了解TLS(Transport Layer Security) HTTPS 用白话文的形式来阐述就是在...
Https个人总结
dglf54292的博客
08-02 253
花了一个星期终于搞懂了.. HTTPS个人总结: 一、RSA算法 公钥:可以分发给任意的钥匙 私钥:自己保留起来,不分发给别人的钥匙 RSA算法: 找出质数p、q n = p*q Φ(n)=(p-1)*(q-1) 公钥e 要求 1<e<Φ(n) 并且e和Φ(n)互质 私钥d 要求e*d除以Φ(n)余数为1 密文C:m^e 除以 ...
httpHTTPS相关总结
IUBKBK的博客
04-03 479
HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(WWW = World Wide Web)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。 HTTP协议作为TCP/IP模型中应用层的协议也不例外。HTTP协议通常承载于TCP协议之上,有时也承载于TLS或SSL协议层之上,这个时候,就成了我们常说的HTTPS...
HTTPHTTPS详解:Cookie、Session及安全通信
"这份PDF文件详细介绍了HTTPHTTPS两种通讯协议,包括它们的特点、工作原理以及优缺点。...总结来说,这份资料全面讲解了HTTPHTTPS的基础知识,对于理解和应用这两种网络通信协议具有很高的参考价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值