概念
1、http 協議(hypertext transfer protocol,超文字傳輸協議):是客戶端瀏覽器或其他程式與web伺服器之間的應用層通訊協議 。
2、https 協議(hypertext transfer protocol over secure socket layer):可以理解為http+ssl/tls, 即 http 下加入 ssl 層,https 的安全基礎是 ssl,因此加密的詳細內容就需要 ssl,用於安全的 http 資料傳輸。
ssl(secure socket layer,安全套接字層):2023年為 netscape 所研發,ssl 協議位於 tcp/ip 協議與各種應用層協議之間,為資料通訊提供安全支援。
tls(transport layer security,傳輸層安全):其前身是 ssl,它最初的幾個版本(ssl 1.0、ssl 2.0、ssl 3.0)由網景公司開發,2023年從 3.1 開始被 ietf 標準化並改名,發展至今已經有 tls 1.0、tls 1.1、tls 1.2 三個版本。ssl3.0和tls1.0由於存在安全漏洞,已經很少被使用到。tls 1.3 改動會比較大,目前還在草案階段,目前使用最廣泛的是tls 1.1、tls 1.2。
據記載,西元前400年,古希臘人就發明了置換密碼;在第二次世界大戰期間,德**方啟用了「恩尼格瑪」密碼機,所以密碼學在社會發展中有著廣泛的用途。
1、對稱加密
有流式、分組兩種,加密和解密都是使用的同乙個金鑰。
例如:des、aes-gcm、chacha20-poly1305等
2、非對稱加密
加密使用的金鑰和解密使用的金鑰是不相同的,分別稱為:公鑰、私鑰,公鑰和演算法都是公開的,私鑰是保密的。非對稱加密演算法效能較低,但是安全性超強,由於其加密特性,非對稱加密演算法能加密的資料長度也是有限的。
例如:rsa、dsa、ecdsa、 dh、ecdhe
3、雜湊演算法
將任意長度的資訊轉換為較短的固定長度的值,通常其長度要比資訊小得多,且演算法不可逆。
例如:md5、sha-1、sha-2、sha-256 等
4、數字簽名
簽名就是在資訊的後面再加上一段內容(資訊經過hash後的值),可以證明資訊沒有被修改過。hash值一般都會加密後(也就是簽名)再和資訊一起傳送,以保證這個hash值不被修改。
http請求過程中,客戶端與伺服器之間沒有任何身份確認的過程,資料全部明文傳輸,「裸奔」在網際網路上,所以很容易遭到黑客的攻擊,如下:
可以看到,客戶端發出的請求很容易被黑客截獲,如果此時黑客冒充伺服器,則其可返回任意資訊給客戶端,而不被客戶端察覺,所以我們經常會聽到一詞「劫持」.
所以 http 傳輸面臨的風險有:
(1) 竊聽風險:黑客可以獲知通訊內容。
(2) 篡改風險:黑客可以修改通訊內容。
(3) 冒充風險:黑客可以冒充他人身份參與通訊。
第一步:為了防止上述現象的發生,人們想到乙個辦法:對傳輸的資訊加密(即使黑客截獲,也無法破解)
此種方式屬於對稱加密,雙方擁有相同的金鑰,資訊得到安全傳輸,但此種方式的缺點是:
(1)不同的客戶端、伺服器數量龐大,所以雙方都需要維護大量的金鑰,維護成本很高
(2)因每個客戶端、伺服器的安全級別不同,金鑰極易洩露
第二步:既然使用對稱加密時,金鑰維護這麼繁瑣,那我們就用非對稱加密試試
客戶端用公鑰對請求內容加密,伺服器使用私鑰對內容解密,反之亦然,但上述過程也存在缺點:
(1)公鑰是公開的(也就是黑客也會有公鑰),所以第 ④ 步私鑰加密的資訊,如果被黑客截獲,其可以使用公鑰進行解密,獲取其中的內容
3、客戶端在接受到服務端發來的ssl證書時,會對證書的真偽進行校驗,以瀏覽器為例說明如下:
(1)首先瀏覽器讀取證書中的證書所有者、有效期等資訊進行一一校驗
(2)瀏覽器開始查詢作業系統中已內建的受信任的證書發布機構ca,與伺服器發來的證書中的頒發者ca比對,用於校驗證書是否為合法機構頒發
(3)如果找不到,瀏覽器就會報錯,說明伺服器發來的證書是不可信任的。
(4)如果找到,那麼瀏覽器就會從作業系統中取出 頒發者ca 的公鑰,然後對伺服器發來的證書裡面的簽名進行解密
(5)瀏覽器使用相同的hash演算法計算出伺服器發來的證書的hash值,將這個計算的hash值與證書中簽名做對比
(6)對比結果一致,則證明伺服器發來的證書合法,沒有被冒充
(7)此時瀏覽器就可以讀取證書中的公鑰,用於後續加密了
4、所以通過傳送ssl證書的形式,既解決了公鑰獲取問題,又解決了黑客冒充問題,一箭雙鵰,https加密過程也就此形成
所以相比http,https 傳輸更加安全
(1) 所有資訊都是加密傳播,黑客無法竊聽。
(2) 具有校驗機制,一旦被篡改,通訊雙方會立刻發現。
(3) 配備身份證書,防止身份被冒充。
綜上所述,相比 http 協議,https 協議增加了很多握手、加密解密等流程,雖然過程很複雜,但其可以保證資料傳輸的安全。所以在這個網際網路膨脹的時代,其中隱藏著各種看不見的危機,為了保證資料的安全,維護網路穩定,建議大家多多推廣https。
https 缺點:
(1)ssl 證書費用很高,以及其在伺服器上的部署、更新維護非常繁瑣
(2)https 降低使用者訪問速度(多次握手)
(3)**改用https 以後,由http 跳轉到 https 的方式增加了使用者訪問耗時(多數**採用302跳轉)
(4)https 涉及到的安全演算法會消耗 cpu 資源,需要增加大量機器(https訪問過程需要加解密)
關於HTTPS實現原理詳解
https實現原理 ssl建立連線過程 client向server傳送請求然後連線到server的443埠,傳送的資訊主要是隨機值1和客戶端支援的加密演算法。2.server接收到資訊之後給予client響應握手資訊,包括隨機值2和匹配好的協商加密演算法,這個加密演算法一定是client傳送給ser...
詳解HTTP和HTTPS加密原理
一 什麼是http協議?超文字傳輸協議 http,hypertext transfer protocol 是網際網路上應用最為廣泛的一種網路協議。所有的www檔案都必須遵守這個標準。位於tcp ip四層模型中的應用層。http協議通過客戶端請求 服務端響應的方式進行通訊。但是http有乙個致命的缺點...
HTTPS協議詳解 二 TLS SSL工作原理
wosign 專欄導航 https協議詳解 一 https基礎知識 https協議詳解 二 tls ssl工作原理 https協議詳解 三 pki 體系 https協議詳解 四 tls ssl握手過程 https協議詳解 五 https效能與優化 https協議的主要功能基本都依賴於tls ssl協...