HTTPS学习笔记

...

Posted by 呆贝斯 on June 29, 2022

前言

了解https之前需要了解对称加密和非对称加密、http的弊端。

http的弊端

由上图可见,http在传输数据过程中,所有数据都是明文传输,自然没有安全性可言。 https使用了混合加密算法(对称加密和非对称加密),可以用密钥加密或还原数据,只要确保密钥不被第三方获取,就能确保数据传输的安全。

对称加密 vs 非对称加密

  1. 对称加密
    • 优点:算法公开、计算量小、加密速度快、加密效率高、适合加密比较大的数据。
    • 缺点:交易双方需要使用相同的密钥,也就无法避免密钥偶的传输,二密钥在传输过程中无法保证不被截获,因此对称加密的安全性得不到保证。 交易双方需要使用相同的密钥,也就无法避免密钥偶的传输,二密钥在传输过程中无法保证不被截获,因此对称加密的安全性得不到保证。 每次用户使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这会使得发收信双方所拥有的密钥密钥数量急剧增长,密钥管理成为双方负担。 对称加密算法在分布式系统上使用较为困难,主要因为密钥管理困难,使用成本高。 由上图可见,被加密的数据在传输过程中是无规则乱码,即便被第三方截获,在没有密钥的情况下也无法解密数据,这就保证了数据安全。 有一个致命问题是,既然双方要使用相同的密钥,那就必须要在传输数据之前由一方把密码传给另一方,这个过程很有可能被截获,加密数据也会被轻松解密。
  2. 非对称加密
    • 优点:算法公开,加密和解密使用不同的密钥,私钥不需要通过网络进行传输,安全性很高。
    • 缺点:计算量很大,加密和解密速度对比对称加密慢很多。 由上图可见,客户端在拿到服务器的公钥后,会生成一个随机码(用KEY表示,这个KEY就是后续双方用于对称加密的密钥), 然后客户端使用公钥包KEY加密后再发送给服务器,服务器使用私钥将其解密,这样双方就有了同一个密钥KEY,然后双方再使用KEY进行对称加密交互数据。 在非对称加密传输KEY的过程中,即便第三方获取了公钥和加密后的KEY,在没有私钥的情况下也无法破解KEY(私钥存在服务器,泄露风险极小), 这就保证了接下来对称加密的数据安全。上图流程就是https的雏形, https正好综合了两种加密算法的的优点,不仅保障了数据安全,还保证了数据的传输效率。

https原理

HTTPS(Hypertext Transfer Protocol Secure)是基于HTTP的扩展,用于计算机网络的安全通信,已经在互联网得到广泛的应用, 在HTTPS中,原有的HTTP协议会得到TLS(安全传输层协议)或其前辈SSL(安全套接层的加密)。 因此,HTTPS也常指HTTP over TLS或HTTP over SSL,也就是说HTTPS = HTTP + SSL/TLS。

https加密、解密、验证及数据传输过程

https的整个通讯过程可以分为两大阶段:证书验证和数据传输阶段,数据传输阶段又可以分为非对称加密和对称加密两个阶段。

  1. 客户端请求HTTPS网址,然后连接到server的443端口(HTTPS默认端口,类似于HTTP的80端口)。
  2. 采用HTTPS协议的服务器必须要有一套数字CA(Certification Authority)证书,证书时需要申请的, 并由专门的数字证书认证机构(CA)通过非常严格的审核之后颁发的电子证书。颁发证书的同时会产生一个公钥和私钥。 私钥由服务器自己保存,不可泄漏。公钥则是附带在证书信息中,可以以公开的。证书本身也附带一个证书电子签名, 这个签名用来验证证书的完整性和真实性,可以防止证书被篡改。
  3. 服务器响应客户端请求,将证书传递给客户端,证书包含公钥和其他信息,比如证书的颁发机构信息,公司信息和证书有效期等。
  4. 客户端解析证书并对其进行验证。如果证书不是可信机构颁布,或者整数中的域名与实际域名不一致,或者证书已经过期, 就会向访问者显示一个警告,由其选择是否还要继续通信。
  5. 客户端把加密后的随机码KEY发送给服务器,作为后面对称加密的密钥。
  6. 服务器收到随机码KEY之后会使用私钥B将其解密。经过以上这些步骤,客户端和服务器终于建立了安全连接,完美解决了对称加密的密钥泄露问题, 接下来就可以使用对称加密愉快的进行通信了。
  7. 服务器使用密钥(随机码KEY)对数据进行对称加密并发送给客户端,客户端使用相同的密钥(随机码KEY)解密数据。
  8. 双方使用对称加密愉快的传输所有数据。

总结

  • http和https的区别:
    1. 最重要的就是安全性,HTTP明文传输,不对数据进行加密安全性较差。HTTPS的数据传输过程是加密的,安全性较好。
    2. 使用HTTPS协议需要申请CA证书,一般免费证书较少,因此需要一定费用。
    3. HTTP页面响应速度比HTTPS快,HTTPS由于加了一层安全层,建立连接的过程更复杂,也要交换更多的数据,难免影响速度。
    4. 由于HTTPS是建立在SSL/TLS之上的HTTP协议,所以要比HTTP更耗费服务器资源。
    5. HTTPS和HTTP使用的是完全不同的连接方式,用的端口也不一样,前者是443,后者是80。
  • HTTPS的缺点:
    1. 在相同的网络环境中,HTTPS相比HTTP无论是响应时间还是耗电量都有大幅度上升。
    2. HTTPS的安全是有范围的,在黑客攻击、服务器劫持等情况下几乎起不到作用。
    3. 在现有的证书机制下,中间人攻击依然有可能发生。
    4. HTTPS需要更多的服务器资源,也会导致成本的升高。