HTTP & HTTPS
what is https?
https,Hyper Text Transfer Protocal Secure,相比 https,多了一个 secure。这个 secure 是由TLS(SSL)提供的,更进一步说是由openSSL的 library 提供的。
http 和 https 都属于 应用层协议,基于 TCP/UDP 协议。Https 用 443 端口。(Google 有一个新的 QUIC 协议,不基于 TCP,是 Quick UDP Internet Connection,port 同样是 443, 同样用来给 https 使用)
网络安全关心的三个问题:CIA(confidentiality, integrity, availability)
- confidentiality
- 内容加密
- integrity
- 避免修改
- availability
- https 没有做到
简单来说,https 保护了你从连接到这个网站开始,到关闭页面位置,收发的所有信息,甚至是 url 都被保护起来了;同时,DNS query 也被保护起来了。
总结起来:
HTTP + 加密 + 认证 + 完整性保护 = HTTPS
principle of https
-
客户端发起 HTTPS 请求
这个没什么好说的,就是用户在浏览器里输入一个 https 网址,然后连接到 server 的 443 端口。
-
服务端的配置
采用 HTTPS 协议的服务器必须要有一套__数字证书__,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl 就是个不错的选择,有1年的免费服务)。
这套证书其实就是一对__公钥和私钥__,如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
-
传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
-
客户端解析证书
这部分工作是由客户端的 TLS 来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。
如果证书没有问题,那么就生成一个随机值,然后用证书对该随机值进行加密,就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
-
传送加密信息
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
-
服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
-
传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
-
客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容,整个过程第三方即使监听到了数据,也束手无策。
总结起来,就是客户端获取到服务端 CA 认证的证书,里面包含了一个公钥,客户端生成一个随机串,用一种加密方式 + 这个随机串对报文进行加密,之后再用公钥对这个随机串加密,把这些都传给服务端。服务端拿到加密后的随机串,用私钥解密,得到真正的随机串,利用这个随机串和相应的算法解密报文,就可以获得 https 里的信息了。
compare https to http
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。