HTTPS

http相关知识点

概念

HTTPS（Hypertext Transfer Protocol Secure）是HTTP协议的安全版本，它通过SSL/TLS协议来加密HTTP通信，确保数据在传输过程中的安全性和完整性。以下是HTTPS的详细解释：

工作原理

1. SSL/TLS握手过程

   • 客户端发送"Client Hello"消息，包含支持的SSL/TLS版本、加密算法等信息。
   • 服务器回应"Server Hello"，选择使用的协议版本和加密算法。
   • 服务器发送其数字证书（包含公钥）给客户端。
   • 客户端验证证书的有效性。
   • 客户端生成一个随机的预主密钥，用服务器的公钥加密后发送给服务器。
   • 服务器用私钥解密，获得预主密钥。
   • 双方使用预主密钥生成会话密钥。
   • 之后的通信使用会话密钥进行对称加密。

2. 数据传输

   • 使用协商好的对称加密算法和会话密钥加密HTTP数据。
   • 加密的数据被封装在TLS记录中传输。

主要特点

1. 加密：所有传输的数据都经过加密，防止被窃听。

2. 数据完整性：通过消息认证码（MAC）确保数据在传输过程中未被篡改。

3. 身份认证：通过数字证书验证服务器的身份，防止中间人攻击。

4. 前向保密：即使长期使用的私钥泄露，之前的通信仍然安全。

证书类型

1. 域名验证（DV）证书：仅验证域名所有权，适用于不处理敏感信息、需要基本加密和快速发放证书的个人或小型网站。
2. 组织验证（OV）证书：验证域名所有权和组织信息，适用于需要在网上展示企业身份、增强客户信任但不直接处理高度敏感信息的中小企业网站。
3. 扩展验证（EV）证书：最高级别的验证，包括严格的组织身份审核，适用于处理高度敏感信息、需要最高级别信任和安全保障的网站，如银行金融机构和大型电商平台。

优势

1. 安全性：保护敏感信息，如登录凭证、信用卡信息等。
2. SEO优势：搜索引擎更青睐HTTPS网站。
3. 用户信任：浏览器通常会显示锁定图标，增加用户信心。
4. 新特性支持：某些现代Web API只在HTTPS环境下可用。

潜在缺点

1. 性能开销：加密和解密过程可能略微增加延迟。
2. 成本：需要购买和维护SSL/TLS证书。
3. 配置复杂性：正确配置HTTPS可能比HTTP更复杂。

最佳实践

1. 使用强加密算法：如AES-256。
2. 定期更新证书：确保证书始终有效。
3. 启用HTTP严格传输安全（HSTS）：强制浏览器始终通过HTTPS连接。
4. 保护私钥：确保服务器私钥的安全存储。
5. 全站HTTPS：将整个网站迁移到HTTPS，而不仅仅是登录页面。

未来发展

• TLS 1.3：最新版本的TLS协议，提供更快的握手和更强的安全性。
• QUIC协议：基于UDP的传输协议，旨在提供更快的加密连接。

HTTPS已成为现代Web的标准，不仅提供了必要的安全保护，还为更丰富、更安全的Web体验铺平了道路。

交互流程

客户端                                      服务器
  |                                           |
  | (1) ClientHello                           |
  | (支持的协议版本、加密套件列表、随机数)     |
  |------------------------------------------>|
  |                                           |
  | (2) ServerHello                           |
  | (选择的协议版本、加密套件、随机数)         |
  |<------------------------------------------|
  |                                           |
  | (3) 服务器证书                            |
  |<------------------------------------------|
  |                                           |
  | (4) 客户端验证证书                        |
  |                                           |
  | (5) ClientKeyExchange                     |
  | (预主密钥，用服务器公钥加密)               |
  |------------------------------------------>|
  |                                           |
  | (6) 服务器用私钥解密预主密钥              |
  |                                           |
  | (7) 双方独立计算会话密钥                  |
  |                                           |
  | (8) ChangeCipherSpec(客户端确认秘钥)        |
  |------------------------------------------>|
  |                                           |
  | (9) Finished (客户端)                     |
  |------------------------------------------>|
  |                                           |
  | (10) ChangeCipherSpec （服务器确认秘钥）     |
  |<------------------------------------------|
  |                                           |
  | (11) Finished (服务器)                    |
  |<------------------------------------------|
  |                                           |
  | (12) 应用数据交互（加密）                     |
  |<=========================================>|
  |                                           |

详细步骤解释：

1. ClientHello:

   • 客户端发送支持的TLS版本、加密套件列表和一个随机数。
   • 作用：初始化连接，提供客户端能力。

2. ServerHello:

   • 服务器选择TLS版本和加密套件，发送自己的随机数。
   • 作用：确定通信参数。

3. 服务器证书:

   • 服务器发送其SSL/TLS证书。
   • 作用：提供服务器身份验证信息。

4. 客户端验证证书:

   • 客户端验证证书的有效性、信任链、域名匹配等。
   • 作用：确保服务器身份的真实性，防止中间人攻击。

5. ClientKeyExchange:

   • 客户端生成预主密钥，用服务器公钥加密后发送。
   • 作用：安全传输用于生成会话密钥的材料。

6. 服务器解密预主密钥:

   • 服务器用私钥解密获得预主密钥。
   • 作用：获取共享的密钥材料。

7. 双方计算会话密钥:

   • 客户端和服务器使用相同的算法，基于预主密钥和之前交换的随机数计算会话密钥。
   • 作用：生成用于加密通信的对称密钥。

8. ChangeCipherSpec (客户端):

   • 客户端通知服务器后续将使用新协商的加密参数和密钥。
   • 作用：标志加密通信的开始。

9. Finished (客户端):

   • 客户端发送经过新密钥加密的握手消息摘要。
   • 作用：验证握手的完整性和密钥的正确性。

10. ChangeCipherSpec (服务器):

    • 服务器通知客户端后续将使用新协商的加密参数和密钥。
    • 作用：确认服务器端加密通信的开始。

11. Finished (服务器):

    • 服务器发送经过新密钥加密的握手消息摘要。
    • 作用：服务器端验证握手的完整性和密钥的正确性。

12. 应用数据:

    • 双方使用协商好的会话密钥进行加密通信。
    • 作用：安全传输应用层数据。

这个完整的流程包括了加密套件的协商、证书的验证、密钥的交换和验证等所有关键步骤，确保了HTTPS通信的安全性和完整性。