HTTPS系列笔记记录(一):HTTPS 和SSL/TLS协议原理详解
来源:互联网 发布:淘宝30天历史最低价 编辑:程序博客网 时间:2024/06/16 22:00
前言:
HTTPS(也称为HTTP over Transport Layer Security(TLS),HTTP over SSL,和HTTP Secure)是一种通过计算机网络进
行安全通信的通信协议,广泛应用于互联网,比喻Google,百度......。简单的来说HTTPS是HTTP的升级安全版。
作用:
HTTPS提供了与正在通信的网站和相关联的Web服务器的身份验证,可以防止中间人攻击。另外,它提供客户端和服务器之间
的通信的双向加密,这样可以防止窃听和篡改或伪造通信内容。 实际上,这提供了一个合理的保证,即一个人准确地与想要的通信
网站(而不是冒名顶替者)沟通,以及确保用户和网站之间的通信内容不能被读取或伪造任何第三方。
概念:
两种不同的通信协议区别:
1、HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协
SSL:
TLS:
HTTP和HTTPS的区别:
HTTPS URL以“https://”开头,默认使用端口 443,而HTTP URL以“http://”开头,默认使用端口80。
网络层[ 编辑]
HTTP操作在TCP / IP模型的最高层,即应用层 ; TLS安全协议(作为同一层的较低子层进行操作),在传输之前对HTTP消息进行加密,并在到达时解密消息。严格来说,HTTPS不是单独的协议,而是指通过加密的 SSL / TLS连接使用普通HTTP。HTTPS消息中的所有内容都被加密,包括头文件和请求/响应加载。除了下面的限制部分描述的可能的CCA加密攻击之外,攻击者只能知道双方之间发生连接及其域名和IP地址。
加密算法:
1、首先讲述一下什么是“加密”和“解密”:
2、什么是"对称加密"?
对称加密:有流式、分组两种,加密和解密都是使用的同一个密钥。
例如:DES、AES-GCM、3DES,TDEA,Blowfish,RC5等等
3、什么是“非对称加密”?
4、哈希算法
将任意长度的信息转换为较短的固定长度的值,通常其长度要比信息小得多,且算法不可逆。
例如:MD5、SHA-1、SHA-2、SHA-256 等
5、数字签名
签名就是在信息的后面再加上一段内容(信息经过hash后的值),可以证明信息没有被修改过。hash值一般都会加密后(
也就是签名)再和信息一起发送,以保证这个hash值不被修改。
详解Http访问过程:
如上图所示:当客户端发送请求很容易被黑客截获,如果黑客冒充目标服务器,则可返回任意信息给客户端,不被客户端所察觉,我们经常会听到“劫持”一次,所以使用直接使用HTTP传输是有风险的。
HTTP 向 HTTPS 演化的过程
对称加密:
为了防止上述现象的发生,人们想到一个办法:对传输的信息加密(即使黑客把信息截获,也无法破解)如上图,上图是使用的对称加密,之前我们在讲述加密方法的时候说到过,对称加密就是客户端和服务端都是使用的同一个密钥进行加密和解密。但是密钥被第三方获取,第三方也能解密,安全性相对较低。有如下常见的几个缺点:
1、在互联网时代,肯定不是单机了,所以存在不同的客户端和服务端的服务器,如果客户端和服务端服务器非常庞大,双方都要维护大量的密钥,从而大大的增加了维护成本。
2、因服务器的安全级别都有所不一样,所以密钥容易被泄露。
非对称加密:
如上图:客户端和服务端之间是通过非对称加密,客户端使用公钥或(私钥)加密后进行数据传输至服务端,服务端使用私钥或(公钥)进行解密。非对称加密也有如下缺点:
1、黑客如果获取了客户端的公钥或(私钥)也能进行解密,获取其内容。
以上方法都存有缺陷,那么有什么方法可以防止数据被截获、黑客获取密钥进行解密的以上的问题,那么就是SSL证书。申购地址:阿里云 又拍云,还有其它网站也提供此服务。
如上图所示,在第 ② 步时服务器发送了一个SSL证书给客户端,SSL 证书中包含的具体内容有:
(1)证书的发布机构CA
(2)证书的有效期
(3)公钥
(4)证书所有者
(5)签名
等等.............
1、客户端在接受到服务端发来的SSL证书时,会对证书的真伪进行校验,以浏览器为例说明如下:
(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发,一般都是通过第三方数字认证机构的数字签名来颁发服务器的证书。
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
(4)如果找到,那么浏览器就会从操作系统中取出 颁发者CA的公钥,然后对服务器发来的证书里面的签名进行解密
(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比
(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充
(7)此时浏览器就可以读取证书中的公钥,用于后续加密了
2、所以通过发送SSL证书的形式,既解决了公钥获取问题,又解决了黑客冒充问题,一箭双雕,HTTPS加密过程也就此形成
所以相比HTTP,HTTPS 传输更加安全
(1) 所有信息都是加密传播,黑客无法窃听。
(2) 具有校验机制,一旦被篡改,通信双方会立刻发现。
(3) 配备身份证书,防止身份被冒充。
总结:
(1)SSL 证书费用很高,以及其在服务器上的部署、更新维护非常繁琐
(2)HTTPS 降低用户访问速度(多次握手)
(3)网站改用HTTPS 以后,由HTTP 跳转到 HTTPS 的方式增加了用户访问耗时(多数网站采用302跳转)
(4)HTTPS 涉及到的安全算法会消耗 CPU 资源,需要增加大量机器(https访问过程需要加解密)
(5)HTTPS比HTTP要慢2--100倍。SSL的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU及内存等资源,导致处理速度变慢。和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。除去和TCP 连接、发送 HTTP 请求/响应以外,还必须进行 SSL 通信,因此整体上处理通信量不可避免会增加。另一点是 SSL 必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起 HTTP 会更多地消耗服务器和客户端的硬件资源,导致负载增强。针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL 加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL 通信专用硬件相对软件来讲能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效以分担负载。
……………
- HTTPS系列笔记记录(一):HTTPS 和SSL/TLS协议原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- Https(SSL/TLS)原理详解
- HTTPS和SSL/TLS协议
- HTTPS和SSL/TLS协议
- HTTPS协议详解(二):TLS/SSL工作原理
- HTTPS协议详解(二):TLS/SSL工作原理
- HTTPS协议详解(二):TLS/SSL工作原理
- HTTPS系列之SSL/TLS协议
- HTTPS协议和SSL/TLS协议
- HTTPS详解SSL/TLS
- 为开发者赋能,阿里云大学人才交流市场全新上线!
- MDN JS学习之event
- jmeter解决中文乱码问题
- myeclipse集成JBoss7
- linux 常用命令
- HTTPS系列笔记记录(一):HTTPS 和SSL/TLS协议原理详解
- JavaScript重写alert方法
- 34:求阶乘的和
- github设置ssh
- Set与线程安全
- web测试方法总结
- 从源码层面理解 Either、Option 和 Try
- 字符串拼接
- JavaScript 函数队列按时间间隔顺序执行