說到 HTTPS 相信大部分人都是不陌生,因?yàn)槟壳拔覀兪褂玫慕^大數(shù)網(wǎng)站都是基于 HTTPS 的,比如以下這些:

那么問題來(lái)了,他們?yōu)槭裁匆褂?HTTPS 呢?HTTPS 有哪些過人之處呢?

1.HTTP

在說 HTTPS 之前,我們先要了解 HTTP,因?yàn)?HTTP 是 HTTPS 通訊的基礎(chǔ)。HTTP(HyperText Transport Protocol)超文本傳輸協(xié)議,它用于傳輸客戶端和服務(wù)器端的數(shù)據(jù)。HTTP 使用很簡(jiǎn)單也很方便,但卻存在以下 3 個(gè)致命問題:


(資料圖片)

使用明文通訊,內(nèi)容可以被竊聽。

不驗(yàn)證通訊方的真實(shí)身份,可能會(huì)遭到偽裝。

無(wú)法證明報(bào)文的完整性,很容易被篡改。

鑒于以上問題,所以現(xiàn)在的系統(tǒng)會(huì)使用 HTTPS 來(lái)替代 HTTP。

2.HTTPS

首先來(lái)說,HTTPS 并不是一種新的協(xié)議,而是在 HTTP 協(xié)議的基礎(chǔ)上添加了加密機(jī)制 SSL(Secure Socket Layer)或 TLS(Transport Layer Security)。HTTPS = HTTP + 加密 + 認(rèn)證 + 完整性保護(hù)。

SSL 和 TLS

SSL(Secure Socket Layer)最早是由瀏覽器開發(fā)廠商網(wǎng)景公司開發(fā)的,此公司開發(fā)了 SSL 3.0 及 3.0 之前的版本,之后便將 SSL 交給了 IETF(Internet Engineering Task Force)Internet 工程任務(wù)組的手中,IETF 以 SSL 3.0 為基礎(chǔ)開發(fā)了 TLS 1.0,所以可以認(rèn)為 TLS 是 SSL 的“新版本”。

2.1 解決信任問題

作為 HTTPS 來(lái)說,首先要解決的就是信任問題,也就是身份效驗(yàn)的問題,如果不解決信任問題就會(huì)存在服務(wù)器偽裝,也就是“中間人攻擊”的問題。所謂的中間人攻擊指的是,正常情況下本該是客戶端和服務(wù)端直接進(jìn)行交互的,但此處沖出來(lái)一個(gè)“壞人”(中間人),它包含在客戶端和服務(wù)器端之間,用于盜取和篡改雙方通訊的內(nèi)容,如下圖所示:

HTTPS 解決信任問題采用的是數(shù)字證書的解決方案,也就是服務(wù)器在創(chuàng)建之初,會(huì)先向一個(gè)大家都認(rèn)可的第三方平臺(tái)申請(qǐng)一個(gè)可靠的數(shù)字證書,然后在客戶端訪問(服務(wù)器端)時(shí),服務(wù)器端會(huì)先給客戶端一個(gè)數(shù)字證書,以證明自己是一個(gè)可靠的服務(wù)器端,而非“中間人”。此時(shí)瀏覽器會(huì)負(fù)責(zé)效驗(yàn)和核對(duì)數(shù)字證書的有效性,如果數(shù)字證書有問題,那么客戶端會(huì)立即停止通訊,如果沒問題才會(huì)執(zhí)行后續(xù)的流程,如下圖所示:

有了數(shù)字證書之后,就可以驗(yàn)證服務(wù)器端的真實(shí)身份了,這樣就解決了“中間人攻擊”的問題,也解決了偽裝的問題。

2.2 解決明文傳輸和完整性問題

雖然上面我們已經(jīng)解決了信任問題,然而因?yàn)橥ㄓ嶋p方是明文通訊的,所以在通訊時(shí)依然存在通訊內(nèi)容被竊聽的風(fēng)險(xiǎn),此時(shí)應(yīng)該怎么辦呢?于是我們想到,使用加密來(lái)解決信息暴露的問題。

加密的分類

加密主要分為兩大類:對(duì)稱加密和非對(duì)稱加密。

在對(duì)稱加密中,有一個(gè)共享秘鑰,通過這把共享秘鑰可以實(shí)現(xiàn)信息的加密和信息的解密,它的特點(diǎn)是加密和解密的速度很快,但因?yàn)楣蚕砻罔€的問題,一旦共享秘鑰被截獲,那么所謂的加密和解碼也就是一紙空談了。

在非對(duì)稱加密中,有一對(duì)秘鑰:公鑰和私鑰,使用公鑰可以加密信息,但不能解密信息,使用私鑰可以解密信息。它的特點(diǎn)是服務(wù)器端保存私鑰,不對(duì)外暴露,只將公鑰發(fā)送給客戶端,而其他人即使拿到公鑰,也解密不了加密的信息,所以此方式更安全,但非對(duì)稱加密的執(zhí)行速度比較慢。那在 HTTPS 中要使用對(duì)稱加密還是非對(duì)稱加密呢?使用對(duì)稱加密,速度快,但不安全;使用非對(duì)稱加密安全,但速度慢。只有小孩做選擇,成年人都要,所以HTTPS 中既使用了非對(duì)稱加密也使用了對(duì)稱加密,它的整個(gè)交互流程是這樣的:

HTTPS 執(zhí)行流程如下:

客戶端使用 HTTPS 訪問服務(wù)器端。服務(wù)器端返回?cái)?shù)字證書,以及使用非對(duì)稱加密,生成一個(gè)公鑰給客戶端(私鑰服務(wù)器端自己保留)。客戶端驗(yàn)證數(shù)字證書是否有效,如果無(wú)效,終止訪問,如果有效:

使用對(duì)稱加密生成一個(gè)共享秘鑰;

使用對(duì)稱加密的共享秘鑰加密數(shù)據(jù);

使用非對(duì)稱加密的公鑰加密(對(duì)稱加密生成的)共享秘鑰。

發(fā)送加密后的秘鑰和數(shù)據(jù)給服務(wù)器端。

服務(wù)器端使用私鑰解密出客戶端(使用對(duì)稱加密生成的)共享秘鑰,再使用共享秘鑰解密出數(shù)據(jù)的具體內(nèi)容。之后客戶端和服務(wù)器端就使用共享秘鑰加密的內(nèi)容內(nèi)容進(jìn)行交互了。

這樣,HTTPS 既保證了安全性,同時(shí)又保證了高效性,可謂魚和熊掌兼得。

使用加密的方式也間接的保證了數(shù)據(jù)的完整性問題,如果是不完整的數(shù)據(jù)或有多余的數(shù)據(jù),那么在解密時(shí)會(huì)報(bào)錯(cuò),這樣就能間接的保證數(shù)據(jù)的完整性了。

總結(jié)

使用 HTTP 協(xié)議存在明文通訊和中間人攻擊等問題,但這些問題在 HTTPS 中得到了有效的解決,HTTPS 通過數(shù)字證書解決了中間人攻擊的問題,使用加密手段解決了明文通訊和數(shù)據(jù)完整性的問題。

參考 & 鳴謝

《圖解HTTP》

《圖解TCP/IP網(wǎng)絡(luò)知識(shí)輕松入門》

標(biāo)簽: HTTPS HTTP