Https与Http详解

admin管理员组

文章数量:1603247

目录

 

前言：

一、Http与Https简述

1.HTTP协议

2.HTTPS协议

二、HTTP与HTTPS区别

1.HTTP特点与缺点

2.HTTPS特点

三、SSL介绍

1、共享密钥加密

2、公开密钥（非对称密钥）

3.混合加密机制

四、HTTP通信传输

五、HTTPS实现原理

六、运用与总结

---

前言：

在讲述HTTP和HTTPS协议前我们先简单看一下计算机网络模型

TCP/IP四层模型介绍

1.链路层（数据链路层/网络接口层）：包括操作系统中的设备驱动程序、计算机中对应的网络接口卡

2.网络层（互联网层）：处理分组在网络中的活动，比如分组的选路。

3.传输层：主要为两台主机上的应用提供端到端的通信。

4.应用层：负责处理特定的应用程序细节。

TCP/IP协议族的组成 

一、Http与Https简述

1.HTTP协议

超文本传输协议，是一个基于请求与响应，无状态的，应用层的协议，常基于TCP/IP协议传输数据，互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。     

HTTP发展史

版本	产生时间	内容	发展现状
HTTP/0.9	1991	不涉及数据包传输，规定客户端和服务器之间通信格式，只能GET请求	非正式标准
HTTP/1.0	1996	传输内容格式不限制，增加PUT、PATCH、HEAD、 OPTIONS、DELETE命令	正式标准
HTTP/1.1	1997	持久连接(长连接)、节约带宽、HOST域、管道机制、分块传输编码	2015年前使用最广泛
HTTP/2	2015	多路复用、服务器推送、头信息压缩、二进制协议等	逐渐覆盖市场

2.HTTPS协议

HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。与SSL（安全套接层）组合使用的HTTP被称为HTTPS（HTTP Secure，超文本传输安全协议）。
PS:TLS是传输层加密协议，前身是SSL协议，由网景公司1995年发布，有时候两者不区分。

二、HTTP与HTTPS区别

1.HTTP特点与缺点

HTTP特点：
无状态：协议对客户端没有状态存储，对事物处理没有“记忆”能力，比如访问一个网站需要反复进行登录操作
无连接：HTTP/1.1之前，由于无状态特点，每次请求需要通过TCP三次握手四次挥手，和服务器重新建立连接。比如某个客户机在短时间多次请求同一个资源，服务器并不能区别是否已经响应过用户的请求，所以每次需要重新响应请求，需要耗费不必要的时间和流量。
基于请求和响应：基本的特性，由客户端发起请求，服务端响应
简单快速、灵活
通信使用明文、请求和响应不会对通信方进行确认、无法保护数据的完整性

HTTP缺点：

1.通信使用明文不对数据进行加密（内容容易被窃听）

2.不验证通信方身份（容易伪装）

3.无法确定报文完整性（内容易被篡改）

2.HTTPS特点

HTTPS有如下特点：

1. 内容加密：采用混合加密技术，中间者无法直接查看明文内容
2. 验证身份：通过证书认证客户端访问的是自己的服务器
3. 保护数据完整性：防止传输的内容被中间人冒充或者篡改

加密处理防止窃听：通信加密。HTTP协议与SSL组合使用，加密HTTP的通信内容。用SSL建立安全通信线路之后，就可以在这条线路通信了

HTTP + 加密 + 认证 + 完整性保护 = HTTPS

三、SSL介绍

主要的加密方法分为两种：一种是共享密钥加密（对称密钥加密），一种是公开密钥加密（非对称密钥加密）

1、共享密钥加密

加密与解密使用同一个密钥

 

 

也就是说在加密的同时，也会把密钥发送给对方。在发送密钥过程中可能会造成密钥被窃取，那么如何解决这一问题呢？这个问题解决方案，往后看

2、公开密钥（非对称密钥）

公开密钥使用一对非对称密钥。一把叫私有密钥，另一把叫公开密钥私有密钥不让任何人知道，公有密钥随意发送。

也就是说，发送密文方使用对方的公开密钥进行加密，对方接受到信息后，使用私有密钥进行解密。再不使用私有密钥情况下很难还原信息。

 

 

3.混合加密机制

HTTPS采用共享密钥加密和公开密钥加密两者混合加密，两者都有各自的优点。共享密钥加密处理速度快，但密钥无法安全发送给对方；公开密钥加密处理速度慢，但密钥能够安全交换。

但如果我们将两种加密方式一起使用，则两种加密方式就能互补。也就是说，利用公开密钥加密方式安全地交换在共享密钥加密中要使用的密钥，在确保密钥安全前提下，使用共享密钥加密方式进行通信

 

图解：

用我自己的理解来看，就是我要邮寄一个很私密的礼物给女朋友，我先用女朋友放在一个约定地方(SLL数字证书)的密码箱(接收方的公钥)，放上一张纸条上面写着我邮寄的东西是什么，然后关上。再把纸条放进我自己的密码箱(发送方私钥)，快递出去。女朋友拿到快递后，到约定地点拿到解开我密码箱的钥匙(发送发公钥),在用自己的钥匙打开她的密码箱(接收方私钥)。对比两张纸条内容是否一致。来看快递的东西是否是完整的。

理解的可能有一些不对，希望大家可以纠正。

四、HTTP通信传输

客户端输入URL回车，DNS解析域名得到服务器的IP地址，服务器在80端口监听客户端请求，端口通过TCP/IP协议（可以通过Socket实现）建立连接。HTTP属于TCP/IP模型中的运用层协议，所以通信的过程其实是对应数据的入栈和出栈。 

报文从运用层传送到运输层，运输层通过TCP三次握手和服务器建立连接，四次挥手释放连接。

为什么需要三次握手呢？为了防止已失效的连接请求报文段突然又传送到了服务端，因而产生错误。

比如：client发出的第一个连接请求报文段并没有丢失，而是在某个网络结点长时间的滞留了，以致延误到连接释放以后的某个时间才到达server。本来这是一个早已失效的报文段，但是server收到此失效的连接请求报文段后，就误认为是client再次发出的一个新的连接请求，于是就向client发出确认报文段，同意建立连接。假设不采用“三次握手”，那么只要server发出确认，新的连接就建立了，由于client并没有发出建立连接的请求，因此不会理睬server的确认，也不会向server发送数据，但server却以为新的运输连接已经建立，并一直等待client发来数据。所以没有采用“三次握手”，这种情况下server的很多资源就白白浪费掉了。

为什么需要四次挥手呢？TCP是全双工模式，当client发出FIN报文段时，只是表示client已经没有数据要发送了，client告诉server，它的数据已经全部发送完毕了；但是，这个时候client还是可以接受来server的数据；当server返回ACK报文段时，表示它已经知道client没有数据发送了，但是server还是可以发送数据到client的；当server也发送了FIN报文段时，这个时候就表示server也没有数据要发送了，就会告诉client，我也没有数据要发送了，如果收到client确认报文段，之后彼此就会愉快的中断这次TCP连接。

五、HTTPS实现原理

1.client向server发送请求https://baidu，然后连接到server的443端口。

2.服务端必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面，这套证书其实就是一对公钥和私钥。

3.传送证书 
这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间、服务端的公钥，第三方证书认证机构(CA)的签名，服务端的域名信息等内容。

4.客户端解析证书 
这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值（秘钥）。然后用证书对该随机值进行加密。

5.传送加密信息 
这部分传送的是用证书加密后的秘钥，目的就是让服务端得到这个秘钥，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

6.服务段加密信息 
服务端用私钥解密秘密秘钥，得到了客户端传过来的私钥，然后把内容通过该值进行对称加密。

7.传输加密后的信息 
这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。

8.客户端解密信息 
客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容。

---

1.怎么保证保证服务器给客户端下发的公钥是真正的公钥，而不是中间人伪造的公钥呢？

2.证书如何安全传输，被掉包了怎么办？

数字证书包括了加密后服务器的公钥、权威机构的信息、服务器域名，还有经过CA私钥签名之后的证书内容（经过先通过Hash函数计算得到证书数字摘要，然后用权威机构私钥加密数字摘要得到数字签名)，签名计算方法以及证书对应的域名。当客户端收到这个证书之后，使用本地配置的权威机构的公钥对证书进行解密得到服务端的公钥和证书的数字签名，数字签名经过CA公钥解密得到证书信息摘要，然后根据证书上描述的计算证书的方法计算一下当前证书的信息摘要，与收到的信息摘要作对比，如果一样，表示证书一定是服务器下发的，没有被中间人篡改过。因为中间人虽然有权威机构的公钥，能够解析证书内容并篡改，但是篡改完成之后中间人需要将证书重新加密，但是中间人没有权威机构的私钥，无法加密，强行加密只会导致客户端无法解密，如果中间人强行乱修改证书，就会导致证书内容和证书签名不匹配。
那第三方攻击者能否让自己的证书显示出来的信息也是服务端呢？（伪装服务端一样的配置）显然这个是不行的，因为当第三方攻击者去CA那边寻求认证的时候CA会要求其提供例如域名的whois信息、域名管理邮箱等证明你是服务端域名的拥有者，而第三方攻击者是无法提供这些信息所以他就是无法骗CA他拥有属于服务端的域名

六、运用与总结

安全性考虑：
HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用
SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行

中间人攻击（MITM攻击）是指，黑客拦截并篡改网络中的通信数据。又分为被动MITM和主动MITM，被动MITM只窃取通信数据而不修改，而主动MITM不但能窃取数据，还会篡改通信数据。最常见的中间人攻击常常发生在公共wifi或者公共路由上。

成本考虑：
1.SSL证书需要购买申请，功能越强大的证书费用越高
2.SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗（SSL有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持，Windows XP就不支持这个扩展，考虑到XP的装机量，这个特性几乎没用）。
3.根据ACM CoNEXT数据显示，使用HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电。
4.HTTPS连接缓存不如HTTP高效，流量成本高。
5.HTTPS连接服务器端资源占用高很多，支持访客多的网站需要投入更大的成本。
6.HTTPS协议握手阶段比较费时，对网站的响应速度有影响，影响用户体验。比较好的方式是采用分而治之，类似12306网站的主页使用HTTP协议，有关于用户信息等方面使用HTTPS。

参考文献：

https://blog.csdn/D_R_L_T/article/details/80795835

https://blog.csdn/xiaoming100001/article/details/81109617

本文标签： 详解HTTPShttp