很多人说“不用HTTPS就是裸奔”
HTTP的不足:
通信使用明文(不加密),内容可能会被窃听(wireshark/fiddler)
不验证通信方的身份,因此有可能遭遇伪装
无法证明报文的完整性,所以有可能已遭篡改
TCP/IP 是可能被窃听的网络
1.通讯的加密:
SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)
有兴趣深入SSL/TLS:https://www.jianshu.com/p/3e5f01360827
用 SSL 建立安全通信线路之后,就可以在这条线路上进行 HTTP通信了。与 SSL 组合使用的 HTTP 被称为 HTTPS(HTTP Secure,超文本传输安全协议)或 HTTP over SSL。
2.内容的加密:
为了做到有效的内容加密,前提是要求客户端和服务器同时具备加密和解密机制。主要应用在 Web 服务中。有一点必须引起注意,由于该方式不同于 SSL 或 TLS 将整个通信线路加密处理,所以内容仍有被篡改的风险。
不验证通讯方的身份就可能遭遇伪装
无法确定请求发送至目标的 Web 服务器是否是按真实意图返回响应的那台服务器。有可能是已伪装的 Web 服务器。
无法确定响应返回到的客户端是否是按真实意图接收响应的那个客户端。有可能是已伪装的客户端。
无法确定正在通信的对方是否具备访问权限。因为某些Web 服务器上保存着重要的信息,只想发给特定用户通信的权限。
无法判定请求是来自何方、出自谁手。
无法证明报文的完整性,可能已遭篡改
如何防篡改?
可以使用MD5和SHA-1等散列算法,但这仍然无法百分百保证结果的正确,因为散列码如果同时被修改的话,用户还是无法意识到文件已经被修改。还是用HTTPS吧。
HTTP+ 加密 + 认证 + 完整性保护=HTTPS
HTTP是身披SSL外壳的HTTP
相互交换密钥的公开密钥加密技术:
共享密钥加密的问题:
证明公开密钥的正确性的证书:
也可以通过设置->高级->管理HTTPS证书来查看所有已经安装的证书(chrome浏览器)
HTTPS的安全通信机制:
步骤 1: 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。
步骤 2: 服务器可进行 SSL 通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3: 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。
步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端,最初阶段的 SSL 握手协商部分结束。
步骤 5: SSL 第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-mastersecret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7: 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。
步骤 8: 服务器同样发送 Change Cipher Spec 报文。
步骤 9: 服务器同样发送 Finished 报文。
步骤 10: 服务器和客户端的 Finished 报文交换完毕之后,SSL 连接就算建立完成。当然,通信会受到 SSL 的保护。从此处开始进行应用层协议的通信,即发送 HTTP 请求。
步骤 11: 应用层协议通信,即发送 HTTP 响应。
步骤 12: 最后由客户端断开连接。断开连接时,发送 close_notify 报文。上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP的通信。
问题:为何不完全使用非对称加密算法,而是使用非对称加密算法传送密钥,对称加密算法加密内容?(性能问题)
常见对称加密算法:AES/DES
常见非对称加密算法:RSA
对称加密算法和非对称加密算法速度对比:
https://blog.csdn.net/wowotuo/article/details/80295586
https的缺点:
要进行 HTTPS 通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。证书价格可能会根据不同的认证机构略有不同。通常,一年的授权需要数万日元(现在一万日元大约折合 600人民币)。
https不是只有信徒,google的霸道也引来了很多的反抗者~
1.chrome浏览器将非https站点默认标注为“不安全”的
2.SEO,不https就掐掉流量。。。
RSS 之父 Winer 炮轰 Google 反客为主强推 HTTPS:
https://www.oschina.net/news/97660/dave-winer-criticize-google
搭建一个https服务端:
https://www.jianshu.com/p/c59ea7d0230e
windows server上的一个简单https例子(不想乱搞测试环境,就没弄Linux):