企業(yè)建站知識(shí) 推廣知識(shí) 小程序微信營(yíng)銷 APP開發(fā) 前端設(shè)計(jì) MindManager 開發(fā)語(yǔ)言自媒體

深度解析HTTPS原理

發(fā)表日期：2018-07 文章編輯：小燈瀏覽次數(shù)：2104

HTTPS（全稱：HyperText Transfer Protocol over Secure Socket Layer），其實(shí) HTTPS 并不是一個(gè)新鮮協(xié)議，Google 很早就開始啟用了，初衷是為了保證數(shù)據(jù)安全。近兩年，Google、Baidu、Facebook 等這樣的互聯(lián)網(wǎng)巨頭，不謀而合地開始大力推行 HTTPS，國(guó)內(nèi)外的大型互聯(lián)網(wǎng)公司很多也都已經(jīng)啟用了全站 HTTPS，這也是未來(lái)互聯(lián)網(wǎng)發(fā)展的趨勢(shì)。

為鼓勵(lì)全球網(wǎng)站的 HTTPS 實(shí)現(xiàn)，一些互聯(lián)網(wǎng)公司都提出了自己的要求：

1）Google 已調(diào)整搜索引擎算法，讓采用 HTTPS 的網(wǎng)站在搜索中排名更靠前；

2）從 2017 年開始，Chrome 瀏覽器已把采用 HTTP 協(xié)議的網(wǎng)站標(biāo)記為不安全網(wǎng)站；

3）蘋果要求 2017 年 App Store 中的所有應(yīng)用都必須使用 HTTPS 加密連接；

4）當(dāng)前國(guó)內(nèi)炒的很火熱的微信小程序也要求必須使用 HTTPS 協(xié)議；

5）新一代的 HTTP/2 協(xié)議的支持需以 HTTPS 為基礎(chǔ)。

等等，因此想必在不久的將來(lái)，全網(wǎng) HTTPS 勢(shì)在必行。

概念

協(xié)議

1、HTTP 協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）：是客戶端瀏覽器或其他程序與Web服務(wù)器之間的應(yīng)用層通信協(xié)議。

2、HTTPS 協(xié)議（HyperText Transfer Protocol over Secure Socket Layer）：可以理解為HTTP+SSL/TLS，即 HTTP 下加入 SSL 層，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細(xì)內(nèi)容就需要 SSL，用于安全的 HTTP 數(shù)據(jù)傳輸。

image

如上圖所示HTTPS 相比 HTTP 多了一層 SSL/TLS

SSL（Secure Socket Layer，安全套接字層）：1994年為 Netscape 所研發(fā)，SSL 協(xié)議位于 TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。

TLS（Transport Layer Security，傳輸層安全）：其前身是 SSL，它最初的幾個(gè)版本（SSL 1.0、SSL 2.0、SSL 3.0）由網(wǎng)景公司開發(fā)，1999年從 3.1 開始被 IETF 標(biāo)準(zhǔn)化并改名，發(fā)展至今已經(jīng)有 TLS 1.0、TLS 1.1、TLS 1.2 三個(gè)版本。SSL3.0和TLS1.0由于存在安全漏洞，已經(jīng)很少被使用到。TLS 1.3 改動(dòng)會(huì)比較大，目前還在草案階段，目前使用最廣泛的是TLS 1.1、TLS 1.2。

加密算法：

據(jù)記載，公元前400年，古希臘人就發(fā)明了置換密碼；在第二次世界大戰(zhàn)期間，德國(guó)軍方啟用了“恩尼格瑪”密碼機(jī)，所以密碼學(xué)在社會(huì)發(fā)展中有著廣泛的用途。

1、對(duì)稱加密

有流式、分組兩種，加密和解密都是使用的同一個(gè)密鑰。

例如：DES、AES-GCM、ChaCha20-Poly1305等

2、非對(duì)稱加密

加密使用的密鑰和解密使用的密鑰是不相同的，分別稱為：公鑰、私鑰，公鑰和算法都是公開的，私鑰是保密的。非對(duì)稱加密算法性能較低，但是安全性超強(qiáng)，由于其加密特性，非對(duì)稱加密算法能加密的數(shù)據(jù)長(zhǎng)度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

3、哈希算法

將任意長(zhǎng)度的信息轉(zhuǎn)換為較短的固定長(zhǎng)度的值，通常其長(zhǎng)度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

4、數(shù)字簽名

簽名就是在信息的后面再加上一段內(nèi)容（信息經(jīng)過hash后的值），可以證明信息沒有被修改過。hash值一般都會(huì)加密后（也就是簽名）再和信息一起發(fā)送，以保證這個(gè)hash值不被修改。

詳解

一、HTTP 訪問過程

抓包如下：

image

如上圖所示，HTTP請(qǐng)求過程中，客戶端與服務(wù)器之間沒有任何身份確認(rèn)的過程，數(shù)據(jù)全部明文傳輸，“裸奔”在互聯(lián)網(wǎng)上，所以很容易遭到黑客的攻擊，如下：

image

可以看到，客戶端發(fā)出的請(qǐng)求很容易被黑客截獲，如果此時(shí)黑客冒充服務(wù)器，則其可返回任意信息給客戶端，而不被客戶端察覺，所以我們經(jīng)常會(huì)聽到一詞“劫持”，現(xiàn)象如下：

image

下面兩圖中，瀏覽器中填入的是相同的URL，左邊是正確響應(yīng)，而右邊則是被劫持后的響應(yīng)。

image

所以 HTTP 傳輸面臨的風(fēng)險(xiǎn)有：

（1）竊聽風(fēng)險(xiǎn)：黑客可以獲知通信內(nèi)容。

（2）篡改風(fēng)險(xiǎn)：黑客可以修改通信內(nèi)容。

（3）冒充風(fēng)險(xiǎn)：黑客可以冒充他人身份參與通信。

二、HTTP 向 HTTPS 演化的過程

第一步：為了防止上述現(xiàn)象的發(fā)生，人們想到一個(gè)辦法：對(duì)傳輸?shù)男畔⒓用埽词购诳徒孬@，也無(wú)法破解）

image

如上圖所示，此種方式屬于對(duì)稱加密，雙方擁有相同的密鑰，信息得到安全傳輸，但此種方式的缺點(diǎn)是：

（1）不同的客戶端、服務(wù)器數(shù)量龐大，所以雙方都需要維護(hù)大量的密鑰，維護(hù)成本很高

（2）因每個(gè)客戶端、服務(wù)器的安全級(jí)別不同，密鑰極易泄露

第二步：既然使用對(duì)稱加密時(shí)，密鑰維護(hù)這么繁瑣，那我們就用非對(duì)稱加密試試

image

如上圖所示，客戶端用公鑰對(duì)請(qǐng)求內(nèi)容加密，服務(wù)器使用私鑰對(duì)內(nèi)容解密，反之亦然，但上述過程也存在缺點(diǎn)：

（1）公鑰是公開的（也就是黑客也會(huì)有公鑰），所以第 ④ 步私鑰加密的信息，如果被黑客截獲，其可以使用公鑰進(jìn)行解密，獲取其中的內(nèi)容

第三步：非對(duì)稱加密既然也有缺陷，那我們就將對(duì)稱加密，非對(duì)稱加密兩者結(jié)合起來(lái)，取其精華、去其糟粕，發(fā)揮兩者的各自的優(yōu)勢(shì)

image

如上圖所示

（1）第 ③ 步時(shí)，客戶端說：（咱們后續(xù)回話采用對(duì)稱加密吧，這是對(duì)稱加密的算法和對(duì)稱密鑰）這段話用公鑰進(jìn)行加密，然后傳給服務(wù)器

（2）服務(wù)器收到信息后，用私鑰解密，提取出對(duì)稱加密算法和對(duì)稱密鑰后，服務(wù)器說：（好的）對(duì)稱密鑰加密

（3）后續(xù)兩者之間信息的傳輸就可以使用對(duì)稱加密的方式了

遇到的問題：

（1）客戶端如何獲得公鑰

（2）如何確認(rèn)服務(wù)器是真實(shí)的而不是黑客

第四步：獲取公鑰與確認(rèn)服務(wù)器身份

image

1、獲取公鑰

（1）提供一個(gè)下載公鑰的地址，回話前讓客戶端去下載。（缺點(diǎn)：下載地址有可能是假的；客戶端每次在回話前都先去下載公鑰也很麻煩）
（2）回話開始時(shí)，服務(wù)器把公鑰發(fā)給客戶端（缺點(diǎn)：黑客冒充服務(wù)器，發(fā)送給客戶端假的公鑰）

2、那有木有一種方式既可以安全的獲取公鑰，又能防止黑客冒充呢？那就需要用到終極武器了：SSL 證書

image

如上圖所示，在第 ② 步時(shí)服務(wù)器發(fā)送了一個(gè)SSL證書給客戶端，SSL 證書中包含的具體內(nèi)容有：

（1）證書的發(fā)布機(jī)構(gòu)CA

（2）證書的有效期

（3）公鑰

（4）證書所有者

（5）簽名

………

3、客戶端在接受到服務(wù)端發(fā)來(lái)的SSL證書時(shí)，會(huì)對(duì)證書的真?zhèn)芜M(jìn)行校驗(yàn)，以瀏覽器為例說明如下：

（1）首先瀏覽器讀取證書中的證書所有者、有效期等信息進(jìn)行一一校驗(yàn)

（2）瀏覽器開始查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機(jī)構(gòu)CA，與服務(wù)器發(fā)來(lái)的證書中的頒發(fā)者CA比對(duì)，用于校驗(yàn)證書是否為合法機(jī)構(gòu)頒發(fā)

（3）如果找不到，瀏覽器就會(huì)報(bào)錯(cuò)，說明服務(wù)器發(fā)來(lái)的證書是不可信任的。

（4）如果找到，那么瀏覽器就會(huì)從操作系統(tǒng)中取出頒發(fā)者CA的公鑰，然后對(duì)服務(wù)器發(fā)來(lái)的證書里面的簽名進(jìn)行解密

（5）瀏覽器使用相同的hash算法計(jì)算出服務(wù)器發(fā)來(lái)的證書的hash值，將這個(gè)計(jì)算的hash值與證書中簽名做對(duì)比

（6）對(duì)比結(jié)果一致，則證明服務(wù)器發(fā)來(lái)的證書合法，沒有被冒充

（7）此時(shí)瀏覽器就可以讀取證書中的公鑰，用于后續(xù)加密了

4、所以通過發(fā)送SSL證書的形式，既解決了公鑰獲取問題，又解決了黑客冒充問題，一箭雙雕，HTTPS加密過程也就此形成

所以相比HTTP，HTTPS 傳輸更加安全

（1）所有信息都是加密傳播，黑客無(wú)法竊聽。

（2）具有校驗(yàn)機(jī)制，一旦被篡改，通信雙方會(huì)立刻發(fā)現(xiàn)。

（3）配備身份證書，防止身份被冒充。

總結(jié)

綜上所述，相比 HTTP 協(xié)議，HTTPS 協(xié)議增加了很多握手、加密解密等流程，雖然過程很復(fù)雜，但其可以保證數(shù)據(jù)傳輸?shù)陌踩Ｋ栽谶@個(gè)互聯(lián)網(wǎng)膨脹的時(shí)代，其中隱藏著各種看不見的危機(jī)，為了保證數(shù)據(jù)的安全，維護(hù)網(wǎng)絡(luò)穩(wěn)定，建議大家多多推廣HTTPS。

HTTPS 缺點(diǎn)：

（1）SSL 證書費(fèi)用很高，以及其在服務(wù)器上的部署、更新維護(hù)非常繁瑣

（2）HTTPS 降低用戶訪問速度（多次握手）

（3）網(wǎng)站改用HTTPS 以后，由HTTP 跳轉(zhuǎn)到 HTTPS 的方式增加了用戶訪問耗時(shí)（多數(shù)網(wǎng)站采用302跳轉(zhuǎn)）

（4）HTTPS 涉及到的安全算法會(huì)消耗 CPU 資源，需要增加大量機(jī)器（https訪問過程需要加解密）

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.juherenli.com/20456.html

上一篇：<通過抓包分析HTTPS 下一篇：HTTPS加密，讓您的網(wǎng)站拒絕“裸奔”！>