企業(yè)建站知識推廣知識小程序微信營銷 APP開發(fā) 前端設(shè)計 MindManager 開發(fā)語言自媒體

深度解析HTTPS原理

發(fā)表日期：2018-07 文章編輯：小燈瀏覽次數(shù)：2033

HTTPS（全稱：HyperText Transfer Protocol over Secure Socket Layer），其實 HTTPS 并不是一個新鮮協(xié)議，Google 很早就開始啟用了，初衷是為了保證數(shù)據(jù)安全。近兩年，Google、Baidu、Facebook 等這樣的互聯(lián)網(wǎng)巨頭，不謀而合地開始大力推行 HTTPS，國內(nèi)外的大型互聯(lián)網(wǎng)公司很多也都已經(jīng)啟用了全站 HTTPS，這也是未來互聯(lián)網(wǎng)發(fā)展的趨勢。

為鼓勵全球網(wǎng)站的 HTTPS 實現(xiàn)，一些互聯(lián)網(wǎng)公司都提出了自己的要求：

1）Google 已調(diào)整搜索引擎算法，讓采用 HTTPS 的網(wǎng)站在搜索中排名更靠前；

2）從 2017 年開始，Chrome 瀏覽器已把采用 HTTP 協(xié)議的網(wǎng)站標(biāo)記為不安全網(wǎng)站；

3）蘋果要求 2017 年 App Store 中的所有應(yīng)用都必須使用 HTTPS 加密連接；

4）當(dāng)前國內(nèi)炒的很火熱的微信小程序也要求必須使用 HTTPS 協(xié)議；

5）新一代的 HTTP/2 協(xié)議的支持需以 HTTPS 為基礎(chǔ)。

等等，因此想必在不久的將來，全網(wǎng) HTTPS 勢在必行。

概念

協(xié)議

1、HTTP 協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）：是客戶端瀏覽器或其他程序與Web服務(wù)器之間的應(yīng)用層通信協(xié)議。

2、HTTPS 協(xié)議（HyperText Transfer Protocol over Secure Socket Layer）：可以理解為HTTP+SSL/TLS，即 HTTP 下加入 SSL 層，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細內(nèi)容就需要 SSL，用于安全的 HTTP 數(shù)據(jù)傳輸。

image

如上圖所示HTTPS 相比 HTTP 多了一層 SSL/TLS

SSL（Secure Socket Layer，安全套接字層）：1994年為 Netscape 所研發(fā)，SSL 協(xié)議位于 TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。

TLS（Transport Layer Security，傳輸層安全）：其前身是 SSL，它最初的幾個版本（SSL 1.0、SSL 2.0、SSL 3.0）由網(wǎng)景公司開發(fā)，1999年從 3.1 開始被 IETF 標(biāo)準(zhǔn)化并改名，發(fā)展至今已經(jīng)有 TLS 1.0、TLS 1.1、TLS 1.2 三個版本。SSL3.0和TLS1.0由于存在安全漏洞，已經(jīng)很少被使用到。TLS 1.3 改動會比較大，目前還在草案階段，目前使用最廣泛的是TLS 1.1、TLS 1.2。

加密算法：

據(jù)記載，公元前400年，古希臘人就發(fā)明了置換密碼；在第二次世界大戰(zhàn)期間，德國軍方啟用了“恩尼格瑪”密碼機，所以密碼學(xué)在社會發(fā)展中有著廣泛的用途。

1、對稱加密

有流式、分組兩種，加密和解密都是使用的同一個密鑰。

例如：DES、AES-GCM、ChaCha20-Poly1305等

2、非對稱加密

加密使用的密鑰和解密使用的密鑰是不相同的，分別稱為：公鑰、私鑰，公鑰和算法都是公開的，私鑰是保密的。非對稱加密算法性能較低，但是安全性超強，由于其加密特性，非對稱加密算法能加密的數(shù)據(jù)長度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

3、哈希算法

將任意長度的信息轉(zhuǎn)換為較短的固定長度的值，通常其長度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

4、數(shù)字簽名

簽名就是在信息的后面再加上一段內(nèi)容（信息經(jīng)過hash后的值），可以證明信息沒有被修改過。hash值一般都會加密后（也就是簽名）再和信息一起發(fā)送，以保證這個hash值不被修改。

詳解

一、HTTP 訪問過程

抓包如下：

image

如上圖所示，HTTP請求過程中，客戶端與服務(wù)器之間沒有任何身份確認的過程，數(shù)據(jù)全部明文傳輸，“裸奔”在互聯(lián)網(wǎng)上，所以很容易遭到黑客的攻擊，如下：

image

可以看到，客戶端發(fā)出的請求很容易被黑客截獲，如果此時黑客冒充服務(wù)器，則其可返回任意信息給客戶端，而不被客戶端察覺，所以我們經(jīng)常會聽到一詞“劫持”，現(xiàn)象如下：

image

下面兩圖中，瀏覽器中填入的是相同的URL，左邊是正確響應(yīng)，而右邊則是被劫持后的響應(yīng)。

image

所以 HTTP 傳輸面臨的風(fēng)險有：

（1）竊聽風(fēng)險：黑客可以獲知通信內(nèi)容。

（2）篡改風(fēng)險：黑客可以修改通信內(nèi)容。

（3）冒充風(fēng)險：黑客可以冒充他人身份參與通信。

二、HTTP 向 HTTPS 演化的過程

第一步：為了防止上述現(xiàn)象的發(fā)生，人們想到一個辦法：對傳輸?shù)男畔⒓用埽词购诳徒孬@，也無法破解）

image

如上圖所示，此種方式屬于對稱加密，雙方擁有相同的密鑰，信息得到安全傳輸，但此種方式的缺點是：

（1）不同的客戶端、服務(wù)器數(shù)量龐大，所以雙方都需要維護大量的密鑰，維護成本很高

（2）因每個客戶端、服務(wù)器的安全級別不同，密鑰極易泄露

第二步：既然使用對稱加密時，密鑰維護這么繁瑣，那我們就用非對稱加密試試

image

如上圖所示，客戶端用公鑰對請求內(nèi)容加密，服務(wù)器使用私鑰對內(nèi)容解密，反之亦然，但上述過程也存在缺點：

（1）公鑰是公開的（也就是黑客也會有公鑰），所以第 ④ 步私鑰加密的信息，如果被黑客截獲，其可以使用公鑰進行解密，獲取其中的內(nèi)容

第三步：非對稱加密既然也有缺陷，那我們就將對稱加密，非對稱加密兩者結(jié)合起來，取其精華、去其糟粕，發(fā)揮兩者的各自的優(yōu)勢

image

如上圖所示

（1）第 ③ 步時，客戶端說：（咱們后續(xù)回話采用對稱加密吧，這是對稱加密的算法和對稱密鑰）這段話用公鑰進行加密，然后傳給服務(wù)器

（2）服務(wù)器收到信息后，用私鑰解密，提取出對稱加密算法和對稱密鑰后，服務(wù)器說：（好的）對稱密鑰加密

（3）后續(xù)兩者之間信息的傳輸就可以使用對稱加密的方式了

遇到的問題：

（1）客戶端如何獲得公鑰

（2）如何確認服務(wù)器是真實的而不是黑客

第四步：獲取公鑰與確認服務(wù)器身份

image

1、獲取公鑰

（1）提供一個下載公鑰的地址，回話前讓客戶端去下載。（缺點：下載地址有可能是假的；客戶端每次在回話前都先去下載公鑰也很麻煩）
（2）回話開始時，服務(wù)器把公鑰發(fā)給客戶端（缺點：黑客冒充服務(wù)器，發(fā)送給客戶端假的公鑰）

2、那有木有一種方式既可以安全的獲取公鑰，又能防止黑客冒充呢？那就需要用到終極武器了：SSL 證書

image

如上圖所示，在第 ② 步時服務(wù)器發(fā)送了一個SSL證書給客戶端，SSL 證書中包含的具體內(nèi)容有：

（1）證書的發(fā)布機構(gòu)CA

（2）證書的有效期

（3）公鑰

（4）證書所有者

（5）簽名

………

3、客戶端在接受到服務(wù)端發(fā)來的SSL證書時，會對證書的真?zhèn)芜M行校驗，以瀏覽器為例說明如下：

（1）首先瀏覽器讀取證書中的證書所有者、有效期等信息進行一一校驗

（2）瀏覽器開始查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機構(gòu)CA，與服務(wù)器發(fā)來的證書中的頒發(fā)者CA比對，用于校驗證書是否為合法機構(gòu)頒發(fā)

（3）如果找不到，瀏覽器就會報錯，說明服務(wù)器發(fā)來的證書是不可信任的。

（4）如果找到，那么瀏覽器就會從操作系統(tǒng)中取出頒發(fā)者CA的公鑰，然后對服務(wù)器發(fā)來的證書里面的簽名進行解密

（5）瀏覽器使用相同的hash算法計算出服務(wù)器發(fā)來的證書的hash值，將這個計算的hash值與證書中簽名做對比

（6）對比結(jié)果一致，則證明服務(wù)器發(fā)來的證書合法，沒有被冒充

（7）此時瀏覽器就可以讀取證書中的公鑰，用于后續(xù)加密了

4、所以通過發(fā)送SSL證書的形式，既解決了公鑰獲取問題，又解決了黑客冒充問題，一箭雙雕，HTTPS加密過程也就此形成

所以相比HTTP，HTTPS 傳輸更加安全

（1）所有信息都是加密傳播，黑客無法竊聽。

（2）具有校驗機制，一旦被篡改，通信雙方會立刻發(fā)現(xiàn)。

（3）配備身份證書，防止身份被冒充。

總結(jié)

綜上所述，相比 HTTP 協(xié)議，HTTPS 協(xié)議增加了很多握手、加密解密等流程，雖然過程很復(fù)雜，但其可以保證數(shù)據(jù)傳輸?shù)陌踩?。所以在這個互聯(lián)網(wǎng)膨脹的時代，其中隱藏著各種看不見的危機，為了保證數(shù)據(jù)的安全，維護網(wǎng)絡(luò)穩(wěn)定，建議大家多多推廣HTTPS。

HTTPS 缺點：

（1）SSL 證書費用很高，以及其在服務(wù)器上的部署、更新維護非常繁瑣

（2）HTTPS 降低用戶訪問速度（多次握手）

（3）網(wǎng)站改用HTTPS 以后，由HTTP 跳轉(zhuǎn)到 HTTPS 的方式增加了用戶訪問耗時（多數(shù)網(wǎng)站采用302跳轉(zhuǎn)）

（4）HTTPS 涉及到的安全算法會消耗 CPU 資源，需要增加大量機器（https訪問過程需要加解密）

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://m.jstctz.cn/20456.html

上一篇：<通過抓包分析HTTPS 下一篇：HTTPS加密，讓您的網(wǎng)站拒絕“裸奔”！>