zoukankan      html  css  js  c++  java
  • 零基础学习接口测试-HTTPS协议

    一、HTTPS简介:

    HTTPS是安全的http协议。

    HTTPS = HTTP + 加密 + 认证 + 完整性保

    HTTPS = HTTP + SSL/TLS

    如下图所示,其实就是在传输层和应用之间增加了一个安全层。也就是:HTTP是直接和TCP进行通信的,HTTPS是利用SSL/TLS建立安全信道,加密数据包,然后才和TCP进行通信。

    打开百度APP,查看更多高清图片

    HTTP与HTTPS分层结构

    二、SSL:

    SSL:网络安全套接层,保证网络通信安全以及数据完整。

    SSL作用:

    (1)认证用户和服务器,确保数据发送到正确的客户机和服务器。

    (2)加密数据以防止数据中途被窃取。

    (3)维护数据的完整性,确保数据在传输过程中不被改变。

    三、HTTPS原理

    3.1、摘《自图解HTTP》一书

    步骤 1:客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

    步骤 2: 服务器可进行 SSL 通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的

    步骤 3:之后服务器发送 Certificate 报文。报文中包含公开密钥证书

    步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端,最初阶段的 SSL 握手协商部分结束

    步骤 5: SSL 第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密

    步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密

    步骤 7: 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

    步骤 8: 服务器同样发送 Change Cipher Spec 报文。

    步骤 9: 服务器同样发送 Finished 报文。

    步骤 10: 服务器和客户端的 Finished 报文交换完毕之后,SSL 连接就算建立完成。当然,通信会受到 SSL 的保护。从此处开始进行应用层协议的通信,即发送 HTTP 请求。

    步骤 11: 应用层协议通信,即发送 HTTP 响应。

    步骤 12: 最后由客户端断开连接。断开连接时,发送 close_notify 报文。上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。

    在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC 能够查知报文是否遭到篡改,从而保护报文的完整性

    3.2、简单理解:

    步骤1:客户端发起https请求,包括自己支持的加密方法等。

    步骤2:服务端向客户端返回响应内容,包括自己公钥证书。

    步骤3:客户端验证服务端公钥证书的合法性,包括证书颁发机构,有效日期等。

    步骤4:客户端生成会话密钥Key,利用服务端公钥加密后传输给服务端。

    步骤5:服务端私钥解密密文得到与客户端一致的会话密钥Key。

    步骤6:服务端将需要返回的报文与Key通过算法混合,再用Key加密返回给客户端。

    步骤7:客户端解密密文报文,得到请求的明文报文。

    四、HTTPS的优缺点

    4.1:HTTPS的优缺点

    (1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。

    (2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

    (3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

    (4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。

    4.2:HTTPS的缺点:

    (1)SSL证书需要付费,功能越强大的证书费用越高。

    (2)https协议握手阶段比较费时,会对网站的响应速度造成影响,牺牲用户体验。

    (3)https连接缓存不如http高效,大流量网站如非必要也不会采用,流量成本太高。

    (4)SSL证书通常需要绑定IP,不能再同一IP上绑定多个域名。

    (5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。

    五、HTTP与HTTPS的区别:

    1、https协议需要到ca申请证书,证书需要付费。

    2、http信息是明文传输;https则是具有安全性的ssl加密传输协议,更安全。

    3、http和https连接方式不同,端口不同,http的端口是80,https的端口是443。

     

    作 者:桃夭queen
    公众号:桃夭queen
    微 信:feifei286761
    版权说明:欢迎转载,但必须注明出处

  • 相关阅读:
    Python conda 入门
    EmEditor
    LInux 阿里云系统遇到挖矿程序
    Git 全局配置查看修改
    chrome下input文本框自动填充背景问题解决
    织梦调用当前位置 修改当前位置间隔符号
    dedecms调用文章内容
    dedecms文章页调用上一篇和下一篇文章
    dedecms在任意页面调用任意栏目文章
    dedecms判断当前页面是否为首页 织梦设置首页高亮
  • 原文地址:https://www.cnblogs.com/yanchufei/p/12719207.html
Copyright © 2011-2022 走看看