全站 HTTPS 来了

最新推荐文章于 2024-09-30 23:38:20 发布
原创 最新推荐文章于 2024-09-30 23:38:20 发布 · 1.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTPS

本文探讨了如何通过改进协议来提高HTTPS的性能,特别是介绍了SPDY和HTTP2协议如何利用TLS/SSL的优势,以实现更快的下载速度和优化的网络资源加载。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

各位使用百度、谷歌或淘宝的时候,有没有注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护。仔细观察,会发现这些网站已经全站使用 HTTPS。同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求。随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代。

全站 HTTPS 能够带来怎样的优势?HTTPS 的原理又是什么?同时,阻碍 HTTPS 普及的困难是什么?
综合参考多种资料并经过实践验证,探究 HTTPS 的基础原理,分析基本的 HTTPS 通信过程,迎接全站 HTTPS 的来临。

1.HTTPS 基础
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。

HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。

TLS/SSL 全称安全传输层协议 Transport Layer Security, 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。


2.TLS/SSL 原理
HTTPS 协议的主要功能基本都依赖于 TLS/SSL 协议,本节分析安全协议的实现原理。
TLS/SSL 的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。


散列函数 Hash,常见的有 MD5、SHA1、SHA256,该类函数特点是函数单向不可逆、对输入非常敏感、输出长度固定,针对数据的任何修改都会改变散列函数的结果,用于防止信息篡改并验证数据的完整性;对称加密,常见的有 AES-CBC、DES、3DES、AES-GCM等,相同的密钥可以用于信息的加密和解密,掌握密钥才能获取信息,能够防止信息窃听,通信方式是1对1;非对称加密,即常见的 RSA 算法,还包括 ECC、DH 等算法,算法特点是,密钥成对出现,一般称为公钥(公开)和私钥(保密),公钥加密的信息只能私钥解开,私钥加密的信息只能公钥解开。因此掌握公钥的不同客户端之间不能互相解密信息,只能和掌握私钥的服务器进行加密通信,服务器可以实现1对多的通信,客户端也可以用来验证掌握私钥的服务器身份。

在信息传输过程中,散列函数不能单独实现信息防篡改,因为明文传输,中间人可以修改信息之后重新计算信息摘要,因此需要对传输的信息以及信息摘要进行加密;对称加密的优势是信息传输1对1,需要共享相同的密码,密码的安全是保证信息安全的基础,服务器和 N 个客户端通信,需要维持 N 个密码记录,且缺少修改密码的机制;非对称加密的特点是信息传输1对多,服务器只需要维持一个私钥就能够和多个客户端进行加密通信,但服务器发出的信息能够被所有的客户端解密,且该算法的计算复杂,加密速度慢。

结合三类算法的特点,TLS 的基本工作方式是,客户端使用非对称加密与服务器进行通信,实现身份验证并协商对称加密使用的密钥,然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信,不同的节点之间采用的对称密钥不同,从而可以保证信息只能通信双方获取。

3.PKI 体系
3.1 RSA 身份验证的隐患
身份验证和密钥协商是 TLS 的基础功能,要求的前提是合法的服务器掌握着对应的私钥。但 RSA 算法无法确保服务器身份的合法性,因为公钥并不包含服务器的信息,存在安全隐患:
客户端 C 和服务器 S 进行通信,中间节点 M 截获了二者的通信;
节点 M 自己计算产生一对公钥 pub_M 和私钥 pri_M;
C 向 S 请求公钥时,M 把自己的公钥 pub_M 发给了 C;
C 使用公钥 pub_M 加密的数据能够被 M 解密,因为 M 掌握对应的私钥 pri_M,而 C 无法根据公钥信息判断服务器的身份,从而 C 和 M 之间建立了”可信”加密连接;
中间节点 M 和服务器S之间再建立合法的连接,因此 C 和 S 之间通信被M完全掌握,M 可以进行信息的窃听、篡改等操作。
另外,服务器也可以对自己的发出的信息进行否认,不承认相关信息是自己发出。
因此该方案下至少存在两类问题:中间人攻击和信息抵赖。


3.2 身份验证-CA 和证书
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构 CA。CA 负责核实公钥的拥有者的信息,并颁发认证”证书”,同时能够为使用者提供证书验证服务,即 PKI 体系。

基本的原理为,CA 负责审核信息,然后对关键信息利用私钥进行”签名”,公开对应的公钥,客户端可以利用公钥验证签名。CA 也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA 使用具体的流程如下:


最低0.47元/天 解锁文章

200万优质内容无限畅学
腾讯Bugly
关注
Python爬虫120例之第20例,1637、一路商机网全站加盟数据采集
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
08-23 1万+
销售用的数据,是更有价值的数据
B站上的高能学习资源来了,c/c++、Java、python、机器学习、大前端......
热门推荐
qq_33828738的博客
04-13 4万+
小玉用心总结了一些良心up主,包含了c、c++、java、python、web前端、机器学习等等各个方面的优质视频,不进来看看你就亏大了
HTTP与SSL协议
qq_43573722的博客
02-19 2655
一、HTTP协议简要分析 ** 1、概念解析 ** 1.)什么是超文本?(HyperText) 超文本是包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接,形成网状(Web),因此又被称为网页(Web Page)。这些链接使用URL表示。最常见的超文本格式是超文本标记语言HTML。 2.)什么是URL?: 能唯一地标识万维网中的某一个文档。URL由协议、主机...
SSL和HTTPS
jerryking096696的专栏
11-07 213
zz:[url]http://cuiyongxiu.com/201102/24157.html[/url] ssl协议由那个Netscape网景公司开发,它的作用主要是提供一种安全传输方式,网上很多时候需要输入用户名和密码,假设电脑防病毒还可以,但是用户名和密码要通过互联网来传到服务器,这个步骤就要经过很多的路由等,如果明文传输,就可以在你的局域网内或者通过的路由中监听,窃取你的用户名密码。...
https=http+ssl
小豆角的博客
06-24 866
浏览器 访问 百度 ,使用https是为了防止中间人冒充百度: 前提: 1.百度有一对公钥私钥,把公钥给CA机构,CA机构 2.CA机构对百度的公钥进行处理,生成百度的数字证书,返回给百度的服务器 //保证了对称密钥的安全 3.浏览器访问百度,百度先把自己的数字证书给浏览器 4.浏览器本地本身已经有CA机构的根证书,浏览器拿到百度的数字证书,会验证是否有效 5.如果证书有效: --...
HTTPS = HTTP + SSL
weixin_34050389的博客
06-19 274
一、什么是HTTPS协议   HTTPS协议是建立在HTTP协议上面的一种应用层的协议,主要是用于客户端与服务端之间的数据交互,现在实际应用于安全性较高的通讯场景,类似于商城,某些门户网站等,采取HTTPS协议来协助实现可靠传输。但这个协议仅仅只是解决了部分问题,并不能从根本上解决网络中数据传输的安全问题。安全问题也是我们持续探索的一个领域。 二、为什么要使用HTTPS协议   这里我们以HTTP...
计算机网络之http:HTTPS和SSL介绍(二)
Lee的博客
10-28 1110
CA也叫做证书授权中心,承担公钥体系中公钥合法性校验的责任,为每个使用公钥的用户颁发一个数字证书,数字证书的作用是证明证书中的用户合法拥有证书中的公钥。现在有的CA机构如DigicertGlobalsign等。数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名可以保证数据的完整性,防止数据被篡改,因为数字签名是通过发送的数据产生的,如果数据被修改那么就和数字签名对应不上安全套接层是网景公司在1994年针对http。
电商网站HTTPS实践之路(一)——概述篇
皖南笑笑生的博客
05-17 3356
写在开篇前的话:全站HTTPS已经是互联网企业发展的大势所趋。继淘宝、京东等电商完成全站HTTPS化后,笔者负责领导了公司的全站HTTPS工作。在整个过程中,笔者深刻体会到对于一个大型网站而言,全站HTTPS绝对是一个挑战巨大且需要严谨对待的工作。不幸的是,网络知识库中并未有针对电商型网站的任何改造经验与文档供我们参考。爬坑的过程是异常残忍的,遇到了一次次血淋淋的教训,因此笔者决定将整个方案分享出...
电商网站HTTPS实践之路(二)——系统改造篇
皖南笑笑生的博客
05-17 4346
首先是要让系统支持HTTPS。 需要有接入层来统一处理TLS握手。页面资源的替换也存在一些坑。对于不同的域证书选择上也要注意,最好的方式是提前整理好域列表绑定成一张支持多域名和泛域名的证书。大多数互联网公司的CDN资源都是租用的,CDN上证书如何来处理。最后,HTTPS的测试策略如何实施,来保证页面不会出现Mix content阻塞和net: ERR_INSECURE_RESPONSE错误。 ...
网络【HTTPS 协议】HTTP+SSL/TLS
qq_43606536的博客
08-16 1143
HTTPS是一个重要的网络安全措施,它通过和来保护数据的安全,防止数据泄露和中间人攻击。随着技术的发展和安全需求的增加,HTTPS已经成为互联网通信的标准做法。
HTTPS = HTTP + SSL = HTTP + 加密 + 认证 + 完整性保护
DongZhaoCheng
03-02 545
HTTPS协议 = HTTP + SSL协议 HTTP协议的缺陷: 窃听风险 篡改风险 冒充风险 SSL/TLS协议就是为了解决这3个风险,于是实现了下面的: 所有信息都是加密转播,第三方无法窃听 具有校验机制,一旦被篡改,通信双方会立刻被发现 配备身份证书,防止身份被冒充 具体的请看阮一峰老师的两篇博客,我就不班门弄斧了… SSL/TLS协议运行机制的概述 图解SSL/TLS协议 ......
HTTPS:HTTP +SSL
大连赵哥的博客
01-09 1076
HTTPS:HTTP +SSL
https通信(HTTP+SSL)
weixin_42847086的博客
07-25 4521
1、https介绍 1.1 https是什么? https不是一种新的协议,它是http+SSL(TLS)的结合体,SSL是一种独立协议,所有其它协议比如smtp等也可以跟ssl结合。https改变了通信方式,它由以前的http—–>tcp,改为http——>SSL—–>tcp;https采用了共享密钥加密+公开密钥加密的方式。 1.2 为什么使用? 1.2.1 http通信存在...
HTTPS协议(http+ssl/tls)
qq_43776517的博客
10-08 991
HTTPS,加密算法
HTTPS: 基于HTTP+SSL/TLS的安全通信协议
Fireplusplus的博客
09-03 3015
何为HTTPS HTTP(HyperText Transfer Protocol )是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。 HTTPS(HyperText Transfer Protocol over Secure Socket Layer),从其名字也可以看出,是在安全套接层之上的HTTP协议。其中的S可以理解为SSL/TLS协议,其中TLS又是SSL的改进版本。HTTPS的安全数据传输就依赖于SSL/TLS协议。 为什么
https通信机制(http + ssl/tls)
haoyanyu_的博客
07-29 443
https(http+ssl) https协议不是应用层的新协议,只是HTTP通信接口部分用SSL 或 TLS协议代替 一般情况,HTTP直接和tcp通信,使用SSL时,变成HTTP先和SSL通信,然后SSL在和TCP通信 SSL独立于HTTP,其他运行在应用层的协议,比如SMTP,Telnet等都可以配合SSL使用 SSL采用的是公开密钥加密: 公开密钥加密: 非对称的秘钥, 一把私有秘...
网络:HTTPS = HTTP + SSL/TLS
王小二(海阔天空)
07-05 1374
网络:HTTPS = HTTP + SSL/TLS 一、 HTTP HTTP的名称是超文本传输协议,其特点是无状态性、不安全、单向通信(即不支持服务端推送,至少在HTTP1.1版本不支持)。 由于HTTP协议使用 《明文》 进行传输,因此存在数据被窃听的风险。此外,HTTP也没有使用《单向散列函数》 与 《消息认证码》 等机制,因此数据存在被篡改和伪装的风险,所以说HTTP协议是不安全的协议。为...
阿里云域名HTTP+SSL证书流程(http到https的一个过程)
最新发布
小丁的博客
09-30 2031
如何在nginx服务器上安装ssl证书,以及配置443端口的ssl?
协议 HTTP HTTPS SSL TLS SSL证书 跨域 (超级详细版)
QQdd_的博客
10-26 2309
会话保持技术的出现是因为HTTP 是一个无状态的协议,这一次请求和上一次请求是没有任何关系的,互相无法感知,上一次请求干了什么?这一次请求完全不知道,会话保持技术就是为了以一种第三方的设计实现http请求之间的联系,让请求之间能够相互感知。cookiesessioncookie和session的区别,用一个例子解释:封闭式管理的学校,如何进入校园?方式1.学校准备一本花名册,进门的时候挨个比对。方式2.学生办一张学生卡,持卡进出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值