1. 程式人生 > >HTTPS 基本流程 轉載 https://zhuanlan.zhihu.com/p/27395037

HTTPS 基本流程 轉載 https://zhuanlan.zhihu.com/p/27395037

 

協議

1、HTTP 協議(HyperText Transfer Protocol,超文字傳輸協議):是客戶端瀏覽器或其他程式與Web伺服器之間的應用層通訊協議 。

2、HTTPS 協議(HyperText Transfer Protocol over Secure Socket Layer):可以理解為HTTP+SSL/TLS, 即 HTTP 下加入 SSL 層,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL,用於安全的 HTTP 資料傳輸。

如上圖所示 HTTPS 相比 HTTP 多了一層 SSL/TLS

SSL(Secure Socket Layer,安全套接字層):1994年為 Netscape 所研發,SSL 協議位於 TCP/IP 協議與各種應用層協議之間,為資料通訊提供安全支援。

TLS(Transport Layer Security,傳輸層安全):其前身是 SSL,它最初的幾個版本(SSL 1.0、SSL 2.0、SSL 3.0)由網景公司開發,1999年從 3.1 開始被 IETF 標準化並改名,發展至今已經有 TLS 1.0、TLS 1.1、TLS 1.2 三個版本。SSL3.0和TLS1.0由於存在安全漏洞,已經很少被使用到。TLS 1.3 改動會比較大,目前還在草案階段,目前使用最廣泛的是TLS 1.1、TLS 1.2。

加密演算法:

據記載,公元前400年,古希臘人就發明了置換密碼;在第二次世界大戰期間,德國軍方啟用了“恩尼格瑪”密碼機,所以密碼學在社會發展中有著廣泛的用途。

1、對稱加密

有流式、分組兩種,加密和解密都是使用的同一個金鑰。

例如:DES、AES-GCM、ChaCha20-Poly1305等

2、非對稱加密

加密使用的金鑰和解密使用的金鑰是不相同的,分別稱為:公鑰、私鑰,公鑰和演算法都是公開的,私鑰是保密的。非對稱加密演算法效能較低,但是安全性超強,由於其加密特性,非對稱加密演算法能加密的資料長度也是有限的。

例如:RSA、DSA、ECDSA、 DH、ECDHE

3、雜湊演算法

將任意長度的資訊轉換為較短的固定長度的值,通常其長度要比資訊小得多,且演算法不可逆。

例如:MD5、SHA-1、SHA-2、SHA-256 等

4、數字簽名

簽名就是在資訊的後面再加上一段內容(資訊經過hash後的值),可以證明資訊沒有被修改過。hash值一般都會加密後(也就是簽名)再和資訊一起傳送,以保證這個hash值不被修改。

詳解

一、HTTP 訪問過程

抓包如下:

如上圖所示,HTTP請求過程中,客戶端與伺服器之間沒有任何身份確認的過程,資料全部明文傳輸,“裸奔”在網際網路上,所以很容易遭到黑客的攻擊,如下:

可以看到,客戶端發出的請求很容易被黑客截獲,如果此時黑客冒充伺服器,則其可返回任意資訊給客戶端,而不被客戶端察覺,所以我們經常會聽到一詞“劫持”,現象如下:

下面兩圖中,瀏覽器中填入的是相同的URL,左邊是正確響應,而右邊則是被劫持後的響應

所以 HTTP 傳輸面臨的風險有:

(1) 竊聽風險:黑客可以獲知通訊內容。

(2) 篡改風險:黑客可以修改通訊內容。

(3) 冒充風險:黑客可以冒充他人身份參與通訊。

二、HTTP 向 HTTPS 演化的過程

第一步:為了防止上述現象的發生,人們想到一個辦法:對傳輸的資訊加密(即使黑客截獲,也無法破解)

如上圖所示,此種方式屬於對稱加密,雙方擁有相同的金鑰,資訊得到安全傳輸,但此種方式的缺點是:

(1)不同的客戶端、伺服器數量龐大,所以雙方都需要維護大量的金鑰,維護成本很高

(2)因每個客戶端、伺服器的安全級別不同,金鑰極易洩露

第二步:既然使用對稱加密時,金鑰維護這麼繁瑣,那我們就用非對稱加密試試

如上圖所示,客戶端用公鑰對請求內容加密,伺服器使用私鑰對內容解密,反之亦然,但上述過程也存在缺點:

(1)公鑰是公開的(也就是黑客也會有公鑰),所以第 ④ 步私鑰加密的資訊,如果被黑客截獲,其可以使用公鑰進行解密,獲取其中的內容

第三步:非對稱加密既然也有缺陷,那我們就將對稱加密,非對稱加密兩者結合起來,取其精華、去其糟粕,發揮兩者的各自的優勢

如上圖所示

(1)第 ③ 步時,客戶端說:(咱們後續回話採用對稱加密吧,這是對稱加密的演算法和對稱金鑰)這段話用公鑰進行加密,然後傳給伺服器

(2)伺服器收到資訊後,用私鑰解密,提取出對稱加密演算法和對稱金鑰後,伺服器說:(好的)對稱金鑰加密

(3)後續兩者之間資訊的傳輸就可以使用對稱加密的方式了

遇到的問題:

(1)客戶端如何獲得公鑰

(2)如何確認伺服器是真實的而不是黑客

第四步:獲取公鑰與確認伺服器身份

1、獲取公鑰

(1)提供一個下載公鑰的地址,回話前讓客戶端去下載。(缺點:下載地址有可能是假的;客戶端每次在回話前都先去下載公鑰也很麻煩)
(2)回話開始時,伺服器把公鑰發給客戶端(缺點:黑客冒充伺服器,傳送給客戶端假的公鑰)

2、那有木有一種方式既可以安全的獲取公鑰,又能防止黑客冒充呢? 那就需要用到終極武器了:SSL 證書(申購

如上圖所示,在第 ② 步時伺服器傳送了一個SSL證書給客戶端,SSL 證書中包含的具體內容有:

(1)證書的釋出機構CA

(2)證書的有效期

(3)公鑰

(4)證書所有者

(5)簽名

………

3、客戶端在接受到服務端發來的SSL證書時,會對證書的真偽進行校驗,以瀏覽器為例說明如下:

(1)首先瀏覽器讀取證書中的證書所有者、有效期等資訊進行一一校驗

(2)瀏覽器開始查詢作業系統中已內建的受信任的證書釋出機構CA,與伺服器發來的證書中的頒發者CA比對,用於校驗證書是否為合法機構頒發

(3)如果找不到,瀏覽器就會報錯,說明伺服器發來的證書是不可信任的。

(4)如果找到,那麼瀏覽器就會從作業系統中取出 頒發者CA 的公鑰,然後對伺服器發來的證書裡面的簽名進行解密

(5)瀏覽器使用相同的hash演算法計算出伺服器發來的證書的hash值,將這個計算的hash值與證書中籤名做對比

(6)對比結果一致,則證明伺服器發來的證書合法,沒有被冒充

(7)此時瀏覽器就可以讀取證書中的公鑰,用於後續加密了

4、所以通過傳送SSL證書的形式,既解決了公鑰獲取問題,又解決了黑客冒充問題,一箭雙鵰,HTTPS加密過程也就此形成

所以相比HTTP,HTTPS 傳輸更加安全

(1) 所有資訊都是加密傳播,黑客無法竊聽。

(2) 具有校驗機制,一旦被篡改,通訊雙方會立刻發現。

(3) 配備身份證書,防止身份被冒充。

總結

綜上所述,相比 HTTP 協議,HTTPS 協議增加了很多握手、加密解密等流程,雖然過程很複雜,但其可以保證資料傳輸的安全。所以在這個網際網路膨脹的時代,其中隱藏著各種看不見的危機,為了保證資料的安全,維護網路穩定,建議大家多多推廣HTTPS。

推薦閱讀:

HTTPS系列乾貨(二):突破這5個技術難點,HTTPS會好用到飛起來

一文讀懂 HTTP/2 特性

為什麼非全站升級HTTPS不可?

詳解又拍雲 CDN 全站 HTTPS 訪問優化

又拍雲 OV & EV SSL 證書服務一覽

又拍雲免費 SSL 證書申請入口