图解HTTP解析12(HTTPS)

一、什么是HTTPS

HTTPS是HTTP通过SSL(secure socket layer 安全套接层) 或TLS(Transport Layer Security 安全层传输协议)的组合使用，加密的HTTP的通信内容，我们把添加了加密及认证机制的 HTTP 称为 HTTPS

HTTP = HTTP + TCP+IP
HTTPS = HTTP +SSL+TPC+IP

二、传统HTTP协议的缺点

1. 明文通信，内容可能被窃听

由于HTTP不存在加密的功能，所以无法做到对请求和响应的内容进行加密，即HTTP通过明文传输，特别地，TCP/IP可能是窃听地渠道，安装TCP/IP协议簇的工作机制，通信内容在所有线路都可能遭到窥视，就算是对报文内容加密，也只是让对方不懂它的涵义，但还是能看到该报文。

对应窃听的解决方案，

• 可以使用https解决
• 对报文内容进行加密，但必须要求客户端跟服务器同时具备加密与解密的机制。但还是明文传输，仍有被篡改的风险。

2. 不验证双方通信身份， 可能遭遇伪装

HTTP协议的请求与响应不会对通信方进行确认，也就是存在你发送的报文到达的服务器，也许并非是url真正指定的主机，返回的响应是否真的是返回到实际提出请求的客户端的问题。

• web服务器可能是伪装的
• 客户端有可能是伪装的
• 服务器端无法确认对方是否具有访问权限，无法阻止海量请求的DoS攻击(拒绝服务攻击)

解决方案：

• 证书，证书是由第三方机构造的，客户端在通信前确认服务器的证书。

3. 内容篡改

请求或响应中间的链路篡改报文，双方都蒙蔽(中间人攻击)

解决方案:

• HTTP协议的MD5和SHA-1散列值校验数字签名，并不可靠
• HTTPS

三、公钥与私钥

SSL采用公开密钥加密的方式，近代的加密算法是公开的，而密钥是保密。通过这种方式保持加密的安全性。

加密和解密都需要密钥，没有密钥就不能对密码进行破解。一旦攻击者获得了加密与解密的密钥，那么这个就成了笑话。

公开密钥方式很好的解决了这个困境。

公开密钥加密使用一对非对称的密钥。 一把叫做私有密钥（private key） ， 另一把叫做公开密钥（public key） 。 顾名思义， 私有密钥不能让其他任何人知道， 而公开密钥则可以随意发布， 任何人都可以获得。使用公开密钥加密方式， 发送密文的一方使用对方的公开密钥进行加密处理， 对方收到被加密的信息后， 再使用自己的私有密钥进行解密。 利用这种方式， 不需要发送用来解密的私有密钥， 也不必担心密钥被攻击者窃听而盗走。