HTTP 与 HTTPS,HTTPS 更加安全。
什么是 HTTP
HTTP 是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从 WWW 服务器传输超文本到本地浏览器的传输协议。HTTP 是采用明文形式进行数据传输,极易被不法分子窃取和篡改。
1、HTTPS 是加密传输协议,HTTP 是明文传输协议;2、HTTPS 需要用到 SSL 证书,而 HTTP 不用;3、HTTPS 比 HTTP 更加安全,对搜索引擎更友好,利于 SEO;4、HTTPS 标准端口,HTTP 标准端口 80;5、HTTPS 基于传输层,HTTP 基于应用层;6、HTTPS 在浏览器显示绿色安全锁,HTTP 没有显示;
总的来说 HTTPS 比 HTTP 更加安全,能够有效的保护网站用户的隐私信息安全,这也是为什么现在的 HTTPS 网站越来越多。
HTTPS 建立过程相当复杂,下图为示意图,可以有整体认识,一般我们编程知道这些已足够。
如果你想仿照 HTTPS 实现类似加密,可以阅读下具体过程,作为参照
准备工作(对应图中 prepare1234)
可以看到,在客户端向服务器发起请求前,还有一些准备工作要做,或者说是有一些工作已经做好了。
从 CA 证书颁发机构,获取数字证书。
服务器:生成一对公私钥 S.pub,S.pri,私钥自己保留,用于解密和签名,不能外泄。将公钥 S.pub,身份信息,传给 CA(Certificate Authority)机构;
CA 机构:也有公私钥 C.pub,C.pri;由 S.pub,身份信息另外附加 CA 签名生成数字证书(签名使用 C.pri 进行签名)
将数字证书颁发给申请者(服务器)
客户端(比如我们经常使用的浏览器),为了安全性,会内置一份 CA 根证书,它包含公钥 C.pup,用于对数字证书验证
发起链接
https 使用的是 443 端口,而 http 使用的是 80 端口
TCP 端口号是一个 2 字节的整型,处于 TCP 报文段的前四个字节(2 字节源端口号,2 字节目的端口号)。
很明显范围是 065535。其中 01023 具有特殊意义,已经被绑定,比如上面说的 443,80,还有 ftp 的 21 端口。从 1024~49151 也具有特殊含义,但是还没有被用完,比如 8080 端口重定向。剩下的我们就可以随便使用,自定义了。
其实之前在嵌入式开发中,没有连接外网,也没有使用浏览器等等这些。所以端口完全自定义随便用,不用担心冲突:)。
下面的过程为具体详细一点的过程,如果不想看,可以完全只看示意图即可,对我们平时开发用处并不大。或者你在用 wireshark 类似的抓包工具时看的抓狂不认识,可以看看(反正我用 Charles 抓包):
1 客户端发起请求(对应图中 1)
同样需要三次握手,建立 TCP 连接(毫无疑问 HTTPS 也是基于 TCP 的)
2 客户端发送 Client Hello 包(对应图中 2)
随机数
里面有 1970 年 1 月 1 日到现在的秒数,后面还有一个客户端发来的随机数 Client.random
Session ID
如果客户端与服务器费尽周折建立了一个 HTTPS 链接,刚建完就断了,也太可惜,所以用 Session ID 将其保存,如果下次再来可以直接使用之前的链接进行对话(对称密钥)。
密文族
告诉服务器,自己支持的加密算法种类
Server_name
3 Server Hello(对应图中 2)
随机数:对应服务器时间,服务器 sever.random
Seesion ID,如果客户端发给服务器的 session ID 在服务端有缓存,服务端会尝试使用这个 session;否则服务器会启用新的并返回给客户端;
服务器挑选一个密文族
4 Certificate(对应图中 2)
服务器终于发来我们想要的数字证书,包含了:签发机构、过期时间、主题名称、公共密钥信息、指纹信息等等
5 Server Hello Done(对应图中 2)
服务器发送结束
6 客户端验证(对应图中 3)
客户端从内置的 CA 根证书获取 C.pub,对服务器发送来的数字证书进行验签,如果一致,说明证书是 CA 颁发的(前提是 C.pub 是真实的,确实是 CA 机构的公钥)。然后看看证书是否过期,域名是否匹配
7 生成对称密钥(对应图中 4、5、6)
客户端根据之前的:Client.random + sever.random + pre-master
生成对称密钥
经过 S.pub 加密发送给服务器,之后即可通过对称密钥进行通讯。(就是之前我们熟悉的 http)
最后
在整个过程中,一共涉及 2 对公私密钥对,一对由服务器产生,主要用于加密,一对由 CA 产生,主要用于签名。
为什么要多一个 CA 呢?
假设没有 CA,那么如果服务器返回的包含公钥的包被 hack 截取,然后 hack 也生成一对公私钥,他将自己的公钥发给客户端。hack 得到客户端数据后,解密,然后再通过服务器的公钥加密发给服务器,这样数据就被 hack 获取。
有了 CA 后,客户端根据内置的 CA 根证书,很容易识别出 hack 的公钥不合法,或者说 hack 的证书不合法。
评论