网络基础—HTTPS

HTTPS 概念

• HTTPS:Hypertext Transfer Protocol Secure, 超文本传输安全协议，HTTPS通过HTTP进行通信，但是利用SSL/TLS来加密数据包。
• HTTPS: HTTP + SSL/TLS（SSL与TLS都为应用层协议）
• SSL: 安全套接层 （Secure Sockets Layer，缩写作 SSL）是一种安全协议
• TLS：传输层安全性协议（英语：Transport Layer Security，缩写作 TLS）

HTTPS 诞生的原因——HTTP 明文（未经加密的报文）

• HTTP通讯使用明文传输，内容容易被窃听；
• 不验证对方身份，容易遭遇伪装；
• 内容容易被篡改（中间人攻击，Man-in-the-Middle attack，MITM）；
• HTTPS，构建加密通道，提供对网站服务器的身份认证，保护交换数据的隐私与完整性

加密算法

对称加密

• 概念：加密和解密使用同一个密钥；
• 特点：算法公开、计算量小、加密速度快、加密效率高；
• 缺点：无法保证安全性、密钥管理困难；
• 算法：DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法；

非对称加密

• 概念：加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。公钥加密的信息，仅仅只有私钥可以解密，而私钥加密的信息，公钥可以解密；
• 特点：性能较低、安全；
• 算法：RSA、DSA、ECDSA、 DH、ECDHE;

哈希算法

• 概念：又叫散列算法，将任意长度信息转换为固定长度的值，算法不可逆
• 用途：
  • 验证信息是否相同（搜索大文件）；
  • 验证信息是否正确（服务器保持密码）
• 算法：MD5、SHA-1、SHA-2、SHA-256 等；

数字证书

• 概念：是网络通信中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。
• 特点：包含服务器公钥

HTTPS 的演变流程：

1. 对称加密，要解决如何将共享密钥告知对方；
2. 混合加密机制（对称加密和非对称加密，非对称加密来加密共享密钥协商过程），要解决公钥合法性问题（发送公钥时的过程被调包）；
3. 使用第三方机构（数字证书认证机构 CA，Certificate Authority）私钥加密服务器的公钥，客户端再使用第三方机构的公钥进行解密；
4. 要防范第三方机构不小心给中间人颁发了证书，中间人还是有机会对证书进行调包？
5. 客户端本地通过证书编号辨别证明证书是否被篡改（证书会告知客户端如何验证真伪）；
6. 要解决第三方机构的公钥到客户端的问题；
7. 浏览器和操作系统会维护一个权威第三方机构公钥列表；（如果系统和浏览器被攻破了那就没有办法了）；

《图解HTTP》， HTTPS握手流程:

步骤 1： 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。
步骤 2： 服务器可进行 SSL 通信时，会以 Server Hello 报文作为应答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3： 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。
步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶段的SSL握手协商部分结束。

步骤 5： SSL 第一次握手结束之后，客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7： 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。

步骤 8： 服务器同样发送 Change Cipher Spec 报文。
步骤 9： 服务器同样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL 连接就算建立完成。当然，通信会受到 SSL 的保护。从此处开始进行应用层协议的通信，即发送 HTTP请求。
步骤 11： 应用层协议通信，即发送 HTTP 响应。
步骤 12： 最后由客户端断开连接。断开连接时，发送 close_notify 报文。上图做了一些省略，这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。在以上流程中，应用层发送数据时会附加一种叫做 MAC（Message Authentication Code）的报文摘要。MAC 能够查知报文是否遭到篡改，从而保护报文的完整性。

HTTPS的问题–速度慢

• 通信慢：多次握手信息（就是为了协商出对称加密算法）；
• 处理速度慢：加密解密等需要耗费大量的CPU以及内存资源；

参考

《图解HTTP》
《https原理通俗了解》