HTTPS协议详解

最新推荐文章于 2024-09-22 10:32:31 发布

秃头呆熊

最新推荐文章于 2024-09-22 10:32:31 发布

阅读量368

点赞数

分类专栏： web服务器笔记文章标签： https ssl 安全 centos linux

本文链接：https://blog.youkuaiyun.com/ljc1999/article/details/112959262

版权

笔记同时被 2 个专栏收录

59 篇文章

订阅专栏

web服务器

14 篇文章

订阅专栏

本文深入讲解HTTPS协议，包括对称加密、非对称加密、哈希算法和数字签名等加密方式，以及SSL/TLS协议的作用，阐述了HTTPS如何保证数据安全，避免窃听、篡改和冒充风险。同时，指出了HTTPS相比于HTTP的额外安全措施，如身份验证和数据完整性保护。然而，HTTPS也存在证书费用、速度减慢和CPU资源消耗等缺点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、简介

HTTPS（全称：HyperText Transfer Protocol over Secure Socket Layer），其实HTTPS并不是一个新鲜协议，Google很早就开始启用了，初衷是为了保证数据安全。近些年，Google、Baidu、Facebook等这样的互联网巨头，不谋而合地开始大力推行HTTPS，国内外的大型互联网公司很多也都已经启用了全站HTTPS，这也是未来互联网发展的趋势。

二、加密算法

1.对称加密

A要给B发送数据
1）A做一个对称密钥
2）使用密钥给文件加密
3）发送加密以后的文件和钥匙
4）B拿钥匙解密

2.非对称加密

公钥加密，私钥解密
A要给B发送数据
1）B做一对非对称的密钥（公钥、私钥）
2）发送公钥给A
3）A拿公钥对数据进行加密
4）发送加密后的数据给B
5）B拿私钥解密

3.哈希算法

将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多。
例如：MD5、SHA-1、SHA-2、SHA-256 等。

4.数字签名

签名就是在信息的后面再加上一段内容（信息经过hash后的值），可以证明信息没有被修改过。hash值一般都会加密后（也就是签名）再和信息一起发送，以保证这个hash值不被修改。

三、协议介绍

HTTP 协议（Hyper Text Transfer Protocol，超文本传输协议）：是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。
HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）：可以理解为HTTP+SSL/TLS，即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。
在这里插入图片描述

如上图所示 HTTPS 相比 HTTP 多了一层 SSL/TLS

SSL/TLS :SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层为数据通讯进行加密提供安全支持。

SSL协议可分为两层： SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。相当于连接
SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。相当于通信

SSL协议提供的服务主要有：
ssl:身份认证和数据加密。保证数据完整性
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；
2）加密数据以防止数据中途被窃取；
3）维护数据的完整性，确保数据在传输过程中不被改变。

四、原理

1.访问过程

HTTP请求过程中，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，“裸奔”在互联网上，所以很容易遭到黑客的攻击。客户端发出的请求很容易被黑客截获，如果此时黑客冒充服务器，则其可返回任意信息给客户端，而不被客户端察觉。

所以 HTTP 传输面临的风险有：
窃听风险：黑客可以获知通信内容。
篡改风险：黑客可以修改通信内容。
冒充风险：黑客可以冒充他人身份参与通信。

而SSL 证书：既可以安全的获取公钥，又能防止黑客冒充
证书：.crt, .pem
私钥：.key
证书请求文件：.csr
SSL 证书中包含的具体内容有：
（1）证书的发布机构(CA认证中心)
（2）证书的有效期
（3）公钥
（4）证书所有者
（5）签名 ----- 签名就可以理解为是钞票里面的一个防伪标签。

客户端在接受到服务端发来的SSL证书时，会对证书的真伪进行校验，以浏览器为例说明如下：
（1）首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
（2）浏览器开始查找操作系统中已内置的受信任的证书发布机构CA，与服务器发来的证书中的颁发者CA比对，用于校验证书是否为合法机构颁发
（3）如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。
（4）如果找到，那么浏览器就会从操作系统中取出颁发者CA 的公钥，然后对服务器发来的证书里面的签名进行解密
（5）浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比
（6）对比结果一致，则证明服务器发来的证书合法，没有被冒充
（7）此时浏览器就可以读取证书中的公钥，用于后续加密了
（8）client与web协商对称加密算法，client生成一个对称加密密钥并使用web公钥加密，发送给web服务器，web服务器使用web私钥解密
（9）使用对称加密密钥传输数据，并校验数据的完整性

所以相比HTTP，HTTPS 传输更加安全
（1）所有信息都是加密传播，黑客无法窃听。
（2）具有校验机制，一旦被篡改，通信双方会立刻发现。
（3）配备身份证书，防止身份被冒充。

2.小结

综上所述，相比 HTTP 协议，HTTPS 协议增加了很多握手、加密解密等流程，虽然过程很复杂，但其可以保证数据传输的安全。

HTTPS 缺点：
SSL 证书费用很高，以及其在服务器上的部署、更新维护非常繁琐
HTTPS 降低用户访问速度（多次握手）
网站改用HTTPS 以后，由HTTP 跳转到 HTTPS 的方式增加了用户访问耗时（多数网站采用302跳转）
HTTPS 涉及到的安全算法会消耗 CPU 资源，需要增加大量机器（https访问过程需要加解密）