随着信息安全变得越来越重要,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”。HTTPS在HTTP上建立了SSL加密层,是HTTP协议的安全版本。HTTPS主要作用有两方面:

  • 对数据进行加密,并建立一个安全通道,来保证传输过程中的数据安全。
  • 对网站服务器进行真实身份认证。

一、HTTP协议的缺点

  之所以会出现HTTPS,是因为HTTP存在了以下缺点:

  • HTTP报文使用明文方式在网络中传输,本身不具备加密功能。
  • 无法证明报文的完整性,内容很可能被篡改,即无法确认发送的报文和接受的报文前后相同。
  • HTTP协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”。

  而在HTTPS中相应的处理办法是:

  • 数据隐私性:内容经过对称加密。
  • 数据完整性:内容传输经过完整性校验。
  • 身份认证:第三方无法伪造身份。

二、HTTPS的解决办法

  通常HTTP直接和TCP通信,而HTTPS增加了一层SSL/TSL协议, 因此HTTPS并不是一种新的协议,只是HTTP穿了一件“衣服”而已,加上这一层,HTTP带来的信息窃听、信息篡改、信息劫持等缺点都能被解决。

1. 解决信息窃听——加密

  关于加密解密的一些知识可以先阅读数字证书和数字签名是个啥?

  • 对称加密

  这种方式加密和解密使用的是同一个密钥,这样方式依旧存在一种安全隐患,如果密钥落到攻击者手里,加密就是去了意义。

  • 非对称加密

  非对称加密就是我们经常见的公钥和私钥,私钥只有一把,公钥则可以随意发布。这种加密特点是信息一传多,服务器需要维持一个私钥就能够和多个客户端进行加密通信。但是依旧有很多缺点:这种方式无法验证服务器身份,可能存在“中间人攻击”的风险;数据加密解密过程需要消耗一定时间,降低了数据传输效率。

  • 对称加密+非对称加密(HTTPS采取方式)

  对称密钥的好处是解密效率高,非对称密钥的好处是传输内容不能被破解。HTTPS将两者结合起来,具体做法是:发送密文的一方使用对方的公钥进行加密处理“对称的密钥”,然后对方用自己的私钥解密拿到“对方的密钥”,这样可以确保交换的密钥是安全的前提下,使用对称加密的方式进行通信。

2. 解决信息篡改和信息劫持——数字证书和数字签名

  数字签名和数字证书的功能在上面连接,这里不在介绍。我们介绍一下数字证书认证机构的业务流程:

  • 服务器的运营人员向第三方机构CA提交公钥、组织信息、个人信息(域名)等并申请认证
  • CA通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等
  • 如果信息审核通过,CA会向申请者签发认证文件——数字证书,里面是CA中心用自己的私钥对服务器公钥和一些相关信息一起加密。

三、HTTPS工作流程

  1. Client发起一个HTTPS请求(默认连接Server443端口)。
  2. Server把事先配置好的公钥证书返回给客户端。
  3. Client验证公钥证书:比如是否在有效期内,证书的里的域名是不是匹配Client请求的站点,上一级证书是否有效,直到递归验证到根证书。如果验证通过则继续,不通过则显示警告信息。如果证书是由不信任机构颁发,浏览器则会发出另一种警告。

  4.  Client使用伪随机数生成器生成加密所使用的对称密钥,然后用证书的公钥(即Server的公钥)加密这个对称密钥,发给Server。

  5.  Server使用自己的私钥解密得到对称密钥。至此,Client和Server都持有相同的对称密钥,此后的回话内容都使用对称密钥进行加密。

四、HTTPS与HTTP的区别——总结

  • HTTP是明文传输,HTTPS由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP安全。
  • HTTPS需要申请CA证书,HTTP不用。
  • HTTPS标准端口443,HTTP为80。
  • HTTP连接很简单,是无状态的;HTTPS协议是有SSL/TLS协议构建的可进行加密传输、身份认证的网络协议。

五、HTTPS的缺点

  虽说HTTPS安全可靠,但不是多有web网站都用它,因为它也有一些固有的缺点。

  1. 首先就是证书申请的问题,HTTPS需要权威CA颁发SSL证书,从选择、购买到部署比较耗时耗力。
  2. 其次,HTTPS的加密解密会消耗更多的CPU及内存资源,性能会下降。但可以通过性能优化,把证书部署在SLB或CDN来解决此问题。
  3. 购买证书的开销。

最新文章

  1. js动态绑定click事件时function传参问题
  2. GJM :SqlServer语言学习笔记
  3. oracle RAC切换归档
  4. weblogic启动受管服务器报错Authentication for user weblogic denied (weblogic 11g 域账号密码不生效的解决方法)
  5. android 45 通知
  6. 新手学习SEO要做的七件事是什么?
  7. 在cmd中运行android.bat报出空指针异常
  8. Linux cp 移动的时候报错
  9. 【翻译】了解ASP.NET MVC中的Ajax助手
  10. docker镜像导入导出
  11. java的图形文档
  12. 物联网架构成长之路(8)-EMQ-Hook了解、连接Kafka发送消息
  13. STL容器(C11)--unordered_set用法
  14. 菜单栏--Dom选择器
  15. ACCESS_REFUSED - Login was refused using authentication mechanism PLAIN
  16. Java不同压缩算法的性能比较 程序猿 2015-01-21 本文将会对常用的几个压缩算法的
  17. 定义一组抽象的 Awaiter 的实现接口,你下次写自己的 await 可等待对象时将更加方便
  18. ActiveMQ笔记:管理和监控
  19. linux获得命令使用帮助
  20. [Agc011F] Train Service Planning

热门文章

  1. 攻防世界-PHP文件包含
  2. 微信小程序生成二维码并且扫码跳转并且携带参数
  3. linux qt 5.12.6 编译mysql驱动
  4. 基于chaosblade的故障注入平台小试
  5. MathType如何输入微分上的点
  6. 用Camtasia来快速地给视频添加水印
  7. Let's Do 本地开发智能合约
  8. H5,Css小姐又作画了
  9. Linux 学习笔记04丨Linux的用户和用户组管理
  10. spring与分布式事务