什么是HTTPS?
以安全为目标的HTTP通道,是http协议的安全版。HTTP加上加密处理和认证以及完整性保护后即是 HTTPS。
为什么要用HTTPS?
因为http协议的一些不足,
1、通信使用明文( 不加密) , 内容可能会被窃听。
因为,按 TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。在此通信线路上的某些网络设备、光缆、计算机等都不可能是个人的私有物,所以不排除某个环节中会遭到恶意窥视行为。
2、不验证通信方的身份, 因此有可能遭遇伪装
HTTP 协议中的请求和响应不会对通信方进行确认。也就是说存在“服务器是否就是发送请求中 URI 真正指定的主机,返回的响应是否真的返回到实际提出请求的客户端”等类似问题。
3、无法证明报文的完整性, 所以有可能已遭篡改
所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。接受的内容可能有误。由于 HTTP 协议无法证明通信的报文完整性,因此,在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。换句话说,没有任何办法确认,发出的请求响应和接收到的请求 响应是前后相同的
而这些不足都能使用HTTPS来解决。
HTTPS是怎么做的?也就是说怎么加密,用了什么机制?
HTTP 通信接口部分用 SSL(SecureSocketLayer)和 TLS(Transport LayerSecurity)协议代替而已。当使用 SSL 时,则演变成先和 SSL 通信,再由 SSL和 TCP 通信了。也就是说应用层http和传输层TCP之间多了一个SSL加密协议。
HTTPS 采用共享密钥加密和公开密钥加密两者并用的混合加密机制。但是公开密钥加密与共享密钥加密相比,其处理速度要慢。所以应充分利用两者各自的优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式。
但是公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。
怎么证明公开秘钥的正确性?
利用数字证书认证机构颁发的公开密钥证书。
HTTPS的通信过程是什么?
1,客户端通过发送ClientHello报文开始SSL通信。报文中包含客户端支持的SSL的制定版本、加密组件列表(加密算法,密钥长度等);
2,服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的;
3,之后服务器发送Certificate报文。报文中包含公开密钥证书;
4,最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束;
5,SSL第一次握手结束之后,客户端以Client KeyExchange报文作为回应。报文中包含通信加密中使用的一种被称之为Pre-master secret的随机密码串。该报文已经用步骤3中的公开密钥进行加密;
6,接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密;
7,客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准;
8,服务器同样发送Change Cipher Spec报文;
9,服务器同样发送Finished报文;
10,服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会收到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求;
11,应用层协议通信,即发送HTTP响应;
12,最后由客户端断开连接。断开连接时,发送close_notify报文。这步之后再发送TCP FIN报文来关闭与TCP的通信。
HTTPS的优点
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:
(1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”
HTTPS的缺点
SSL 的慢分两种。一种是指通信慢。另一种是指由于大量消耗 CPU 及内存等资源,导致处理速度变慢。
1、和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。除去和 TCP 连接、发送 HTTP 请求响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免会增加。
2、另一点是 SSL 必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起 HTTP 会更多地消耗服务器和客户端的硬件资源,导致负载增强。
为什么不一直用HTTPS?
因为与纯文本通信相比,加密通信会消耗更多的 CPU 及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。
因此,如果是非敏感信息则使用 HTTP 通信,只有在包含个人信息等敏感数据时,才利用 HTTPS 加密通信。
想要节约购买证书的开销也是原因之一。
HTTPS与HTTP的区别
1)HTTPS的服务器需要到CA申请证书,以证明自己服务器的用途;
2)HTTP信息是明文传输,HTTPS信息是密文传输;
3)HTTP与HTTPS的端口不同,一个是80端口,一个是443端口;
4)http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
参考文献
http://blog.csdn.net/ituling/article/details/52541585
http://www.cnblogs.com/wqhwe/p/5407468.html
http://blog.csdn.net/wangjun5159/article/details/51510594