为什么要有HTTPS
都说进技术的产生就是为了解决旧技术的一些弊端。
HTTP具有相当优秀的一面,但是凡事有利也有弊,在HTTP进行高速通信的过程中可能产生以下几个问题:
HTTP采用明文传输。明文传输在一些需要保护个人隐私的场景是大忌,比如银行卡卡号和密码的输入,个
人信息的录入等。才用明文传输分分钟钟被不法分子截取下来,可能第二天我们就发现我们银行卡里的钱不
翼而飞,我们的个人信息被卖给各种第三方,手机天天收到各种广告信息。
HTTP不验证通信双方的身份。这就有意思了,电视剧经常有这么一种狗血剧情,女主角向长期在外的男主角
书写想念之情,各种肉麻情话。然后将信交给丫鬟代为投递给邮局,但是丫鬟爱慕男主角已久,为了破坏主子
和男主角之间的感情,模仿女主笔记,重新写信给男主,当男主回信回来后,又冒充男主笔迹重写信件,这样
女主和男主都以为在和对方通信,谁知却都被丫鬟从中作梗了。
HTTP无法验证报文的完整性,报文可能被篡改。在上面的女主丫鬟男主的例子种,女主和男主的信件都被丫鬟
篡改了,而女主男主却丝毫不知,这和HTTP报文被篡改的性质是一样的。
因为可能产生以上几种问题,所以出现了HTTPS
什么是HTTPS
HTTPS就是安全的HTTP。即HTTP+加密+认证+完整性保护 = HTTPS。目前很多网站都用到了HTTPS,最常见的就是支付网站。
说到HTTPS就不得不提到SSL协议。
SSL协议:SSL就是在不安全的TCP上做了安全加强,因此SSL是TCP的加强版,但是不能说SSL协议是新的传输层协议,
就像不能说HTTPS是新的应用层协议一样,SSL和HTTPS都是在不安全的原协议上做了安全加强。
传统的HTTP协议通信:传统的HTTP报文是直接将报文信息传输到TCP然后TCP再通过TCP套接字发送给目的主机上。
HTTPS协议通信:HTTPS是HTTP报文直接将报文信息传输给SSL套接字进行加密,SSL加密后将加密后的报文发送给
TCP套接字,然后TCP套接字再将加密后的报文发送给目的主机,目的主机将通过TCP套接字获取加密后的报文给SSL
套接字,SSL解密后交给对应进程。
由上我们可以看出HTTPS就是加个SSL外壳的HTTP
那么SSL又是使用什么方式进行加密解密呢。这里要谈谈共享密钥加密和共有密钥加密方式了
共享密钥加密
共享密钥加密也称对称密钥加密。采用的是使用相同密钥对报文进行加密解密
我们可以将共享密钥加密这样理解:我们把我们要给别人的东西放到一个箱子里面,然后给箱子上了一把锁。当箱子到了我们想给的那个人
身上时,他也需要这把钥匙才能开锁。
这样就产生了一个问题了,我们怎么将这把钥匙安全的交给对方呢,如果钥匙在半路被人截取了,那么对箱子有没有加锁有什么区别呢。因此
共享密钥加密需要解决的一个大问题就是如何安全的将密钥交给解密方。
公开密钥加密
非对称加密和解密使用的密钥不是同一把密钥,其中一把对外界公开,被称作公钥,另一个只有所有者知道,被称为私钥。用公钥加密的信息必须使用
私钥才能解开,反之,用私钥加密的信息只有使用公钥才能解开,理论上说,不可能通过公钥计算获得密钥。
信息发送者A通过公开渠道获得信息接收者B的公钥,对信息进行加密,然后通过非安全渠道将密文信息发送给消息接收者B,B得到密文后,用自己的
私钥对信息进行解密,获得原始的明文信息。即使密文信息在传输过程中遭到窃取,窃取者没有解密密匙也无法还原明文。
再拿上面那个例子,这时候我们还想把一些东西锁到箱子里给某人,我们称他为大傻。我们先跟大傻联系,大傻身上有两把钥匙,我们称为钥匙A和
钥匙B。钥匙A可以用来造锁,但是造好的锁自己却不能开,只能通过钥匙B来开。跟大傻取得联系后大傻把钥匙A给我们。我们拿着钥匙A找造锁师傅
造了一把锁,并且给箱子上锁。然后将带锁的箱子通过物流发给大傻,就算钥匙A被强盗截取了,强盗也开不了箱子。大傻收到箱子后使用那把钥匙B
进行开锁,拿到东西。由于钥匙B一直再大傻身上,所以不用担心被人拿走。
因此HTTPS采用混合加密机制
HTTPS为了追求性能,又要保证安全,采用了共享密钥加密和公开密钥加密混合的方式进行报文传输。
以前感觉这部分有点绕,理解不过来,网上很多帖子都照搬书上的解释,理解了好久,在这里我把我自己理解写下来,希望能帮到大家。
我们前面说到共享密钥加密即对称加密要解决的一个问题就是如何确保该密钥安全传输到解密方。也就是说如何将钥匙和锁一起安全的发送到解锁人。
而共有密钥加密即非对称加密虽然没有那种困扰,但是细节太多,速度太慢。
还是拿上面的锁和箱子的例子来说明。现在我们嫌弃每次加锁都要造个新的锁效率太慢了。我们现在有两个箱子,一个箱子用于方我们要给大傻的东西,并且
这个箱子加上了锁。另一个箱子用于存放那把锁的钥匙。我们这时候找大傻拿到钥匙A造了一把锁后将那个存放钥匙的箱子锁起来,然后将这个箱子给大傻,
大傻拿到箱子使用钥匙B开锁拿到钥匙。这时候我们将那个存放了东西的箱子给大傻,大傻就可以通过这把钥匙开锁拿到东西了。这样以后我们就可以一直通过
这把锁和箱子互相给东西了,而不用发一次数据造一次锁了。
就是说采用共有密钥加密方式传输共享密钥,当共享密钥安全到达服务端后往后的数据就都采用该密钥进行加密解密。
但是这里还有一个问题。就是共有密钥是客户从服务端获取的,那我们怎么保证这把共有密钥真的是从服务端给我们的而不是有人偷梁换柱了呢。
证书
共有密钥不是服务器随便产生的,而是服务器的运维人员向数字证书认证机构申请的。
当服务器需要共有密钥时向运维人员向数字认证机构申请共有密钥,证书将申请到的密钥加上数字签名,然后将加了数字签名的共有密钥包装进公钥证书。
客户向服务器要共有密钥的时候服务器将公钥证书发送给客户,客户取出共有密钥得到签名,然后向数字认证机构进行确认,数字认证机构确认该签名无误后
客户可采用该共有密钥进行加密。