HTTPS
1、HTTP 的缺点
HTTP的主要缺点:
-
通信使用明文(不加密),内容可能会被窃听
HTTP 本身不具备加密的功能,因此无法做到对通信整体(使用 HTTP 协议通信的请求和响应的内容)进行加密。所以按TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窃听。
-
不验证通信方的身份,有可能遭遇伪装
HTTP 协议中的请求和响应不会对通信方进行确认。也就是说任何人都可以发起请求。服务器只要接收到请求,不管对方是谁都会返回一个响应,所以就会出现“服务器是否就是发送请求中 URI 真正指定的主机,
返回的响应是否真的返回到实际提出请求的客户端等等问题。 -
无法证明报文的完整性,有可能已遭篡改
HTTP 协议无法证明通信的报文完整性,在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。
2、HTTPS
为了统一解决上面的问题,需要在 HTTP 上再加入加密处理和认证等机制来确保安全。所以我们就把添加了加密及认证机制的 HTTP 称为 HTTPS。
HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用SSL(Secure Socket Layer)和 TLS(Transport Layer Security)协议代替而已。
2.1、SSL协议
SSL协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户端进行认证。
TSL是以 SSL为原型开发的协议,有时会统一称该协议为 SSL。
-
连接的私密性
SSL利用对称加密算法对传输数据进行加密,并利用密钥交换算法—RSA(Rivest Shamir and Adleman,非对称密钥算法的一种)加密传输对称密钥算法中使用的密钥。
-
身份验证机制
基于证书利用数字签名方法对服务器和客户端进行身份验证。SSL服务器和客户端通过公钥基础设施PKI(Public Key Infrastructure)提供的机制从CA获取证书。
-
内容的可靠性
消息传输过程中使用基于密钥的消息验证码MAC(Message Authentication Code)来检验消息的完整性。(MAC算法是将密钥和任意长度的数据转换为固定长度数据的一种算法。)
2.2、HTTPS 的安全通信机制
HTTPS 的通信步骤:
步骤 1: 客户端通过发送 Client Hello 报文开始 SSL通信。报文中包含客户端支持的 SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。
步骤 2: 服务器可进行 SSL通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3: 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。
步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端,最初阶段的 SSL握手协商部分结束。
步骤 5: SSL第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-mastersecret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7: 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。
步骤 8: 服务器同样发送 Change Cipher Spec 报文。
步骤 9: 服务器同样发送 Finished 报文。
步骤 10: 服务器和客户端的 Finished 报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到 SSL的保护。从此处开始进行应用层协议的通信,即发送 HTTP 请求。
步骤 11: 应用层协议通信,即发送 HTTP 响应。
步骤 12: 最后由客户端断开连接。断开连接时,发送 close_notify 报文。上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP的通信。
下面是对整个流程的图解:
上图中说明了从仅使用服务器端的公开密钥证书(服务器证书)建立 HTTPS 通信的整个过程。
2.3 HTTPS缺点
- 加密通信会会消耗更多的CPU 及内存资源。
- 当使用 SSL时,它的处理速度会变慢。
- 需要支出额外的证书成本。
