2. 程式人生 > >HTTP與HTTPS的區別, 以及SSL四次握手過程

HTTP與HTTPS的區別, 以及SSL四次握手過程

阿新 發佈:2019-02-02

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,因此,HTTP協議不適合傳輸一些敏感資訊,比如:信用卡號、密碼等支付資訊。

為了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文字傳輸協議HTTPS,為了資料傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證伺服器的身份,併為瀏覽器和伺服器之間的通訊加密。

一、HTTP和HTTPS的基本概念

HTTP:是網際網路上應用最為廣泛的一種網路協議,是一個客戶端和伺服器端請求和應答的標準(TCP),用於從WWW伺服器傳輸超文字到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。

HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。

HTTPS協議的主要作用可以分為兩種:一種是建立一個資訊保安通道,來保證資料傳輸的安全;另一種就是確認網站的真實性。

二、HTTP與HTTPS有什麼區別?

HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全,為了保證這些隱私資料能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的資料進行加密,從而就誕生了HTTPS。

簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全。

SSL四次握手過程,如下圖所示:

這裡寫圖片描述

  1. 客戶端請求建立SSL連結,並向服務端傳送一個隨機數–Client random和客戶端支援的加密方法,比如RSA公鑰加密,此時是明文傳輸。
  2. 服務端回覆一種客戶端支援的加密方法、一個隨機數–Server random、授信的伺服器證書和非對稱加密的公鑰。
  3. 客戶端收到服務端的回覆後利用服務端的公鑰,加上新的隨機數–Premaster secret 通過服務端下發的公鑰及加密方法進行加密,傳送給伺服器。
  4. 服務端收到客戶端的回覆,利用已知的加解密方式進行解密,同時利用Client random、Server random和Premaster secret通過一定的演算法生成HTTP連結資料傳輸的對稱加密key – session key。

此後的HTTP連結資料傳輸即通過對稱加密方式進行加密傳輸。

HTTPS和HTTP的區別主要如下:

  1. https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。

  2. http是超文字傳輸協議,資訊是明文傳輸,https則是具有安全性的ssl加密傳輸協議。

  3. http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。

  4. http的連線很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。

三、HTTPS的工作原理

我們都知道HTTPS能夠加密資訊,以免敏感資訊被第三方獲取,所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議
這裡寫圖片描述

  1. 客戶端發起HTTPS請求

    這個沒什麼好說的,就是使用者在瀏覽器裡輸入一個https網址,然後連線到server的443埠。

  2. 服務端的配置

    採用HTTPS協議的伺服器必須要有一套數字證書,可以自己製作,也可以向組織申請,區別就是自己頒發的證書需要客戶端驗證通過,才可以繼續訪問,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務)。

    這套證書其實就是一對公鑰和私鑰,如果對公鑰和私鑰不太理解,可以想象成一把鑰匙和一個鎖頭,只是全世界只有你一個人有這把鑰匙,你可以把鎖頭給別人,別人可以用這個鎖把重要的東西鎖起來,然後發給你,因為只有你一個人有這把鑰匙,所以只有你才能看到被這把鎖鎖起來的東西。

  3. 傳送證書

    這個證書其實就是公鑰,只是包含了很多資訊,如證書的頒發機構,過期時間等等。

  4. 客戶端解析證書

    這部分工作是有客戶端的TLS來完成的,首先會驗證公鑰是否有效,比如頒發機構,過期時間等等,如果發現異常,則會彈出一個警告框,提示證書存在問題。

    如果證書沒有問題,那麼就生成一個隨機值,然後用證書對該隨機值進行加密,就好像上面說的,把隨機值用鎖頭鎖起來,這樣除非有鑰匙,不然看不到被鎖住的內容。

  5. 傳送加密資訊

    這部分傳送的是用證書加密後的隨機值,目的就是讓服務端得到這個隨機值,以後客戶端和服務端的通訊就可以通過這個隨機值來進行加密解密了。

  6. 服務段解密資訊

    服務端用私鑰解密後,得到了客戶端傳過來的隨機值(私鑰),然後把內容通過該值進行對稱加密,所謂對稱加密就是,將資訊和私鑰通過某種演算法混合在一起,這樣除非知道私鑰,不然無法獲取內容,而正好客戶端和服務端都知道這個私鑰,所以只要加密演算法夠彪悍,私鑰夠複雜,資料就夠安全。

  7. 傳輸加密後的資訊

    這部分資訊是服務段用私鑰加密後的資訊,可以在客戶端被還原。

  8. 客戶端解密資訊

    客戶端用之前生成的私鑰解密服務段傳過來的資訊,於是獲取瞭解密後的內容,整個過程第三方即使監聽到了資料,也束手無策。

相關推薦

HTTPHTTPS區別, 以及SSL握手過程

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,因此,HTTP協議不適合傳輸一些敏感資訊,比如:信

必備知識---TCP三握手揮手以及SSL握手

TCP(Transmission Control Protocol 傳輸控制協議)是一種面向連線的、可靠的、基於位元組流的傳輸層通訊協議。 位碼即tcp標誌位,有6種標示: SYN(synchronous建立聯機) ACK(acknowledgement

應用層(http協議) httphttps區別

在協議分層的TCP/IP(或四層)通訊協議採用了5層的層級結構,5層分別包括:應用層、傳輸層、網路層、資料鏈路層、物理層。5層一些簡單功能和著名協議可參考這篇部落格:https://blog.csdn.net/sophia__yu/article/details/82717115 一.應用層

httphttps區別https是如何保障安全性

區別: 1、加密:http協議對傳輸的資料不進行加密;https協議對傳輸的資料使用SSL安全協議進行加密,https加密需要CA簽發的證書。  2、埠:http協議使用TCP的80埠;https協議使用TCP的443埠  3、網路分層模型:http可以明確是位於應用層;http

解釋什麼是報文,httphttps、Tcp的三握手揮手

什麼是報文?   報文(message)是網路中交換與傳輸的資料單元,即站點一次性要傳送的資料塊。報文包含了將要傳送的完整的資料資訊,其長短很不一致,長度不限且可變。  有何作用?     報文多是多個系統之間需要通訊的時候,比如銀行ESB系統到網關係統再到銀聯絡統。在這中間報文就承擔了裝載資料,運輸資

httphttps區別詳解

在URL前加https://字首表明是用SSL加密的。你的電腦與伺服器之間收發的資訊傳輸將更加安全。Web伺服器啟用SSL需要獲得一個伺服器證書並將該證書與要使用SSL的伺服器繫結。http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。

TCP三握手握手過程以及原因分析

首先,是需要明白一些欄位的含義,這樣三次握手、四次握手的流程圖就立馬可以很輕鬆地理解,並迅速手繪了。 (至於這兩個流程圖,網上鋪天蓋地都是,這裡就不貼出來了。) SYN:該欄位被設定為1(即true),表示請求建立連線 FIN:該欄位被設定為1(即true),表示請求關閉連

TCP協議三握手握手過程和原因

首先,是需要明白一些欄位的含義,這樣三次握手、四次握手的流程圖就立馬可以很輕鬆地理解,並迅速手繪了。 (至於這兩個流程圖,網上鋪天蓋地都是,這裡就不貼出來了。) SYN:該欄位被設定為1(即true),表示請求建立連線 FIN:該欄位被設定為1(即true),表示請求關

httphttps區別以及oauth簡單原理

http與https協議的區別 下面我們就來說所http與https的一些區別到底有什麼,他們兩個都是網路上最為廣泛的網路協議,首先呢在安全上面來說http協議他在傳輸資料的時候它對所傳輸的資料是不進行加密的,也就是進行明文格式進行傳輸的,因此http協議如果用於傳輸隱私類的資料是非常不

大前端學習筆記整理【七】HTTP協議以及httphttps區別

前言 還是老樣子,新部落格開始前總是想先囉嗦幾句...HTTP協議其實在當初學習java時老師就有提過...但是...反正就那麼過去了... 這段時間公司的專案正好要求做https的轉換和遷移,然後自己思考了一下,好像自己對於http連一知半解都算不上...更不提http與https的區別...想想作為一個未

httphttps區別以及https如何保證數據傳輸安全

style isp 方式 con 但是 one 傳輸安全 http 生成 http是應用層協議,它會將要傳輸的數據以明文的方式給傳輸層,這樣顯然不安全。https則是在應用層與傳輸層之間又加了一層,該層遵守SSL/TLS協議,用於數據加密。 **加密的方式有兩種:

HTTPHTTPS有什麽區別

soc 數據 tps 安全 sockets 傳輸協議 證書 設計 ets HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全,為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用

HTTPHTTPS區別

src mage 聯網 詳細 我們 tps 身份認證 客戶端請求 電子 面試經常被問到這個問題,特意整理了下 一、HTTP和HTTPS的基本概念   HTTP:是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標準(TCP),用於從WWW服務器傳輸超文

詳細解析 HTTP HTTPS區別

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,因此,HTTP協議不適合傳輸一些敏感資訊,比如:信用卡號、密碼等支付資訊。

HTTPHTTPS區別

超文字傳輸協議,即HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊. HTTP協議以明文方式傳送內容,不提供任何方式的資料加密. 如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊. 因此,HTTP協議不適合傳輸一些敏感資訊,比如:信用卡號、密碼等支付資

httphttps是什麼,有什麼區別

1.http和https的概念: HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內

【計算機網路】淺析HTTPHTTPS區別

                                     淺析HTTP與HTTPS的區別

HTTPHTTPHTTPS區別

  超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,因此,HTTP協議不適合傳輸一些敏感資訊,比如:信用卡號、密

HTTPHTTPS不同請求的區別

1. 我把所有的URL /與程式碼。我這個來自傑夫・德沃爾現在,它的精細工作:function request(const AUrl, AData: AnsiString; blnSSL: Boolean = True): AnsiString; var aBuffer

【轉】HTTPHTTPS區別

 超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,因此,HTTP協議不適合傳輸一些敏感資訊,比如:信用卡號、密碼等支付資訊。