写点什么

HTTP 与 HTTPS 的区别

  • 2023-04-03
    北京
  • 本文字数:2322 字

    阅读完需:约 8 分钟

首先,需要知道 HTTP 和 HTTPS 是什么。

HTTP 是超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于 TCP/IP 协议传输数据,是互联网上应用最为广泛的一种网络协议。

也就是说客户端和网站服务器之间传递信息是需要使用 HTTP 协议的。但是 HTTP 协议以明文方式发送内容,不提供任何方式的数据加密。

HTTP 是明文传输的,就必不可免存在如下问题:

  • 重要数据被明文获取:如果攻击者截取了客户端和网站服务器之间的传输报文,就可以直接读懂其中的信息。一般获取简单数据用于展示的,可能无所谓以上的安全缺陷。但假如涉及类似银行密码的数据,就必须慎重考虑这一点了。因此,HTTP 协议不适合传输一些敏感信息。

  • 通信双方可能被假冒,就是第三方攻击者会冒充客户端向服务端请求内容,或者冒充服务端给客户端提供错误信息。这也是非常不安全的。

  • 数据被篡改:再有就是通信内容也特别容易被截获篡改。

为了解决 HTTP 协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议,也就是 HTTPS。

HTTPS 是一种通过计算机网络进行安全通信的传输协议。为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。SSL 依靠证书来验证服务器的身份,并为客户端和服务器之间的通信加密。

所以说 HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTPS 使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。

那这两个协议的通信过程又是怎么样的呢?

HTTP 通信过程

在 HTTP 工作开始之前,客户端首先要通过网络与服务端建立连接,该连接是通过 TCP 来完成的。连接的服务端端口号是 80。

TCP 连接要进行三次握手,通俗一点来说,就是图中这样的过程,客户端先和服务端打招呼;然后服务端收到信息后就要给客户端进行回复,并且问客户端是否能收到自己的消息;接下来客户端收到服务端信息后需要再告诉服务端可以收到信息,连接成功,接下来要开始发送数据了。

一旦建立了 TCP 连接客户端就会服务端发送请求命令

例如:GET/sample/hello.jsp HTTP/1.1

客户端发送请求命令之后,还要以头信息的形式服务端发送一些别的信息,之后浏览器发送了一空白行来通知服务器,它已经结束了该头信息的发送。

接下来如果有请求体的话客户端会继续向服务端发送请求体的信息。

客户端向服务端发出请求后,服务端会给客户端返回响应。

响应的第一部分是协议的版本号和响应状态码。

接下来服务端也会发送响应头信息。

服务端向客户端发送头信息后,它会发送一个空白行来表示头信息的发送到此为结束,接着,它就以 Content-Type 响应头信息所描述的格式发送用户所请求的实际数据。

一般情况下,一旦服务端向客户端发送了响应数据,它就要关闭 TCP 连接。关闭时需要进行四次挥手。

客户端会告诉服务端数据已经发送完毕;服务端回复收到了客户端的信息,并且需要确认服务端信息是否发完;确认完毕后服务端告诉客户端信息已经发送完毕了;接下来客户端通知服务端收到了消息,正式断开连接。

但是如果客户端或者服务端在头信息加入了

Connection:keep-alive

那么 TCP 连接在发送后将仍然保持打开状态,于是,客户端可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间,还节约了网络带宽。

这就是整个 HTTP 协议通信的过程

HTTPS 通信过程

前面已经介绍过了,为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。那 SSL/TLS 协议要连接也是需要进行握手的,下面我们就来看一下具体过程。

  • ClientHello:首先客户端发起 HTTPS 请求,然后连接到服务端的 443 端口。客户端会把 SSL/TLS 版本、客户端的随机数、加密组件(cipher suites)列表、支持的压缩方法等等都一起传给服务端。

  • ServerHello:服务端表示收到信息,并且会根据 ClientHello 选择好 SSL/TLS 版本和加密组件,并且把选择好的版本组件以及服务端的随机数发送给客户端。

  • Certificate:接下来服务端会把包含公钥的数字证书也发送给客户端。采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向 CA 组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。数字证书包括了括了加密后服务器的公钥、权威机构的信息、服务器域名,还有经过 CA 私钥签名之后的证书内容,签名计算方法以及证书对应的域名等信息。

  • ServerHelloDone:通知客户端,最初阶段的握手协商完成了。

  • 验证数字证书:客户端的 SSL/TLS 来完成数字证书验证,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值 pre_master。

  • ClientKeyExchange:通过客户端随机数、服务端随机数和刚生成的 pre_master 生成会话密钥,这个会话密钥是对称加密密钥。只要安全发送给服务端,后面就可以使用这个会话密钥加密信息、解密信息了。要安全的发送这个会话密钥,需要使用服务端发送过来的公开密钥把它加密一下。

  • ChangeCipherSpec:把加密过的会话密钥发送给服务端

  • Finished:告诉服务后,后面发送的信息都会使用会话密钥加密了。如果验证失败,这次握手就失败了,关闭。

  • 服务端验证会话密钥:服务端用私钥解密后,得到了客户端传过来的会话密钥。

  • ChangeCipherSpec:告诉客户端,会话密钥已经收到,从现在起所有我发的信息都会使用会话密钥尽心加密了!

  • Finished:我的信息发送完毕了。

  • HTTP request/response:接下来就可以进行加密信息的发送了。

  • close_notify:最后由客户端通知服务端进行关闭,发送 close_notify 报文。当然此时关闭的是 SSL/TLS 连接,继续下一层 TCP 的四次挥手依旧会进行。

这就是 HTTPS 协议的通信过程。

搜索微信公众号:TestingStudio 霍格沃兹的干货都很硬核

用户头像

社区:ceshiren.com 微信:ceshiren2023 2022-08-29 加入

微信公众号:霍格沃兹测试开发 提供性能测试、自动化测试、测试开发等资料、实事更新一线互联网大厂测试岗位内推需求,共享测试行业动态及资讯,更可零距离接触众多业内大佬

评论

发布
暂无评论
HTTP与HTTPS的区别_测试_测吧(北京)科技有限公司_InfoQ写作社区