http中常用的字段意义
- host指的是客户端发送请求时,用来指定服务器的域名
- content-length字段,表示的是本次回应的数据长度
- connection:字段最常用于客户端要求服务器使用的TCP持久连接,以便其他请求复用
- content-type:指的是用于服务器回应时,告诉客户端本次数据是什么格式
- content-encoding:指的是数据的压缩方法,表示服务器返回的数据使用了什么压缩格式
对于HTTPS是怎么解决http的三大缺点的
-
混合加密的方法实现信息的机密性,解决了窃听的风险
HTTPS采用的是对称加密和非对称加密的结合“混合加密”方式:
- 在通信建立前采用非对称加密的方式来交换“会话秘钥”,后续就不再使用非对称加密
- 在通信过程中全部使用对称加密的“会话秘钥”的方式加密明文数据
采用“混合加密”的方式的原因:
- 对称加密只使用一个秘钥,运算速度快,密钥必须保密,无法做到安全的密钥交换
- 非对称加密使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,解决了密钥交换问题但速度慢
-
摘要算法的方法实现完整性,它能够为数据生成独一无二的“指纹”,指纹用于校验数据的完整性,解决了篡改的风险。
客户端在发送明文之前会通过摘要算法算出明文的“指纹”,发送的时候把“指纹+明文”一同,加密成密文后,发送给服务器,服务器解密后,用相同的摘要算法算出发送过来的明文,通过比较客户端携带的“指纹”和当前算出的“指纹”做比较,若“指纹”相同,说明数据是完整的
-
将服务器公钥放入到数字证书中,解决了冒充的风险
客户端先向服务器索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密
SSL\TLS协议基本流程:
- 客户端向服务器索要并验证服务器的公钥
- 双方协商生产“会话秘钥”
- 双方采用“会话秘钥”进行加密通信
四次握手的详细流程
SSL/TLS 协议建立的详细流程:
*1. ClientHello*
首先,由客户端向服务器发起加密通信请求,也就是 `ClientHello` 请求。
在这一步,客户端主要向服务器发送以下信息:
(1)客户端支持的 SSL/TLS 协议版本,如 TLS 1.2 版本。
(2)客户端生产的随机数(`Client Random`),后面用于生产「会话秘钥」。
(3)客户端支持的密码套件列表,如 RSA 加密算法。
*2. SeverHello*
服务器收到客户端请求后,向客户端发出响应,也就是 `SeverHello`。服务器回应的内容有如下内容:
(1)确认 SSL/ TLS 协议版本,如果浏览器不支持,则关闭加密通信。
(2)服务器生产的随机数(`Server Random`),后面用于生产「会话秘钥」。
(3)确认的密码套件列表,如 RSA 加密算法。
(4)服务器的数字证书。
*3.客户端回应*
客户端收到服务器的回应之后,首先通过浏览器或者操作系统中的 CA 公钥,确认服务器的数字证书的真实性。
如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送如下信息:
(1)一个随机数(`pre-master key`)。该随机数会被服务器公钥加密。
(2)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(3)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
上面第一项的随机数是整个握手阶段的第三个随机数,这样服务器和客户端就同时有三个随机数,接着就用双方协商的加密算法,**各自生成**本次通信的「会话秘钥」。
*4. 服务器的最后回应*
服务器收到客户端的第三个随机数(`pre-master key`)之后,通过协商的加密算法,计算出本次通信的「会话秘钥」。然后,向客户端发生最后的信息:
(1)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验。
至此,整个 SSL/TLS 的握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的 HTTP 协议,只不过用「会话秘钥」加密内容。