HTTPS协议

已于 2023-11-12 09:56:26 修改
阅读量143 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: http 网络协议
于 2023-11-11 23:11:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/randavy/article/details/134355565
本文详细阐述了HTTPS的必要性,介绍了其定义、SSL/TLS的发展历史,以及HTTPS证书的颁发与验证流程。重点讲解了HTTP工作流程中的加密和身份认证环节,以及HTTPS在现代浏览器中的支持情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. 为什么需要HTTPS

我们都知道HTTP是明文传输的,在现实应用中暴露出了几个缺陷:

  • 1. 隐私保护

HTTP是明文传输的,很容易被抓包,而这里边有可能包含我们登录银行的账号密码,危险性可想而知。

  • 2. 完整性

同样是因为明文传输,整个传输链路里任意一个环节,都可以篡改/编辑传输内容,甚至劫持特定网站。

  • 3. 身份认证

无法确定内容提供者身份,你收到的服务器响应可能是任意中间层生成(篡改)的,你甚至不知道请求有没有到源服务器

HTTPS就是为了解决上述问题而引入的。

2. HTTPS的定义

HTTP是超文本传输协议,工作中OSI七层模型里的应用层,HTTPS是在HTTP协议下加了一个SSL/TLS层,用于加密数据传输。 SSL/TLS也被划分到应用层,锁HTTPS的子协议。

SSL全名Secure Socket Layer,是Netscape提出的,随着Netscape公司的没落,SSL被转交给了IETF(Internet Engineering Task Force),IETF对SSL标准化后重命名为TLS(Transport Layer Security),所以一般我们把两个名字放一起,称为SSL/TLS协议簇。

HTTPS中的SSecurity的意思,可以认为HTTPS = HTTP + SSL/TLS
在这里插入图片描述

2.1 SSL/TLS发展史

在这里插入图片描述

  • SSL最先有Netscape提出,SSL 1.0没有对外公布
  • 1995年,Netscape发布了SSL 2.0,因为存在严重的安全漏洞,同年发布了SSL 3.0
  • Netscape没落后,SSL交由IETF管理维护,IETF将SSL重新命名为TLS
  • 1999年,IETF发布了TLS 1.0,大部分功能继承自SSL 3.0,相当于是SSL 3.1版本
  • 2006年,IETF发布了TLS 1.1
  • 2008年,IEFT发布了TLS 1.2
  • 2013年,主流浏览器开始使用TLS 1.2,离发布日期整整差了5年
  • 2015年,主流浏览器开始放弃支持SSL 3.0
  • 2018年,IETF发布了TLS 1.3,进一步改进安全性
  • 2020年,大部分浏览器(>99.5%)使用TLS 1.2或1.3,主流是TLS 1.2,1.3还在路上;
  • 现状,Chrome 72开始不推荐使用TLS 1.0和1.1,Chrome 81之后完全不支持;
    Firefox、Edge、Safari在2020年后会移除TLS 1.0和1.1的支持

2.2 HTTPS证书

通过浏览器的左上角这边小锁,能过查看证书详情:
在这里插入图片描述

证书里包含的信息有:

  1. 颁布给谁,域名
  2. 有效期
  3. 颁发者,具体的证书服务商
  4. 服务端公钥
  5. 指纹,证书的明文数据摘要,然后用证书服务商私钥加密后的数据

2.3 HTTPS证书颁发/验证流程

在这里插入图片描述

图的左侧是证书的生成流程:

  1. 我们提供自己的信息(域名、公钥、有效期等等),向证书服务商提出申请
  2. 证书服务商根据我们的信息生成摘要
  3. 证书服务商对摘要使用私钥加密(非对称加密)
  4. 我们的公开信息 + 加密后的摘要,组成一个完整的证书

图的右侧是证书的验证流程:

  1. 证书里包含两部分数据,公开信息 + 加密后摘要
  2. 客户端对证书的公开信息重新计算摘要
  3. 客户端用证书的颁发者的公钥对证书内加密后摘要解密
  4. 如果自己计算的摘要和解密后的摘要一致,证书验证通过

2.4 HTTP工作流程

在这里插入图片描述

  1. TCP连接建立后,现有客户端发送Client Hello,发送的信息包括:
    • 客户端支持的SSL/TLS版本
    • 客户端支持的加密套件(加密算法)
    • 客户端生成随机数client_random
    • 会话ID(sessionId),为避免短时间内重复握手
    • 少数情况下客户发也需要发送证书,如银行给客户提供的U盾
  2. 服务器收到客户端的Client Hello后,根据客户端支持的版本/加密套件,选择后返回:
    • 选择的SSL/TLS版本
    • 选择的加密套件
    • 服务端生成的随机数server_random
    • 会话ID(sessionId)
    • 服务器证书,为了让客户端验证身份
  3. 客户端校验服务器返回的证书,我们来看一下验证过程:
    • 证书校验
      • 客户端有一批预设的证书服务商的根证书,受信的证书颁布的证书也会被认为是可信任的
      • 常见证书服务商: GlobalSign、GeoTruest、Verisign,国内云厂商也提供证书服务
      • 服务端要支持HTTPS,需先从证书服务商申请HTTPS证书
      • 服务端网关配置HTTPS,提供HTTPS证书
      • 客户端从服务端下载HTTPS证书,校验证书有效性以确定服务端身份
    • 产生随机数pre-master
  4. 交换pre_master
    • 因为第1、2步是明文传输,直接用这2步生成对称加密密钥的话,中间层仍然可以截获、伪造
    • pre-master通过公钥加密,即使截获也无法解密,这样确保中间层拿不到加密密钥
  5. 生成客户端密钥,计算方式:
    • 密钥=摘要算法(client_random, server_random, pre-master)
  6. 生成服务端密钥,计算方式:
    • 密钥=摘要算法(client_random, server_random, pre-master)
    • 客户端/服务器这三个值都是一致的,所以最后使用的密钥是一致的
  7. Client finished
    • 不确定实际作用,猜测是发测试数据,确保客户端-服务端链路通畅,能正常解密
  8. Server finished
    • 不确定实际作用,猜测是发测试数据,确保服务端-客户端链路通畅,能正常解密
  9. HTTP协议
    • 正常发送HTTP协议的内容通信,唯一的不同的使用了对称加密
    • 会话产生是因为服务端并发处理多个客户端请求,需要知道哪个请求用哪个密钥
    • 从安全性、服务器内存来看,密钥不可能是永远有效,需要一个机制有序退出

3. 参考资料

  • https://stephanietang.github.io/2020/04/19/how-https-works/
randy.lou
关注
【SpringBoot】12、SpringBoot中支持Https协议
Asurplus
09-19 20万+
一、https简介 超文本传输安全协议(HyperText Transfer Protocol Secure),缩写:HTTPS;常称为 HTTP over TLS、HTTP over SSL 或 HTTP Secure)是一种通过计算机网络进行安全通信的传输协议HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证...
https协议
LIULIUAINI66的博客
07-10 9231
SSL协议:网络安全协议(安全套接层)HTTP协议HTTPS协议的区别对称密钥加密非对称加密(公开密钥加密)CA证书数字签名(验证非对称公钥是否来自服务器)为什么数据传输是用对称加密?为什么需要 CA 认证机构颁发证书?...
Https协议
loongshawn的博客
03-05 1250
Https协议要点: Https协议原理 SSL、TLS 部署Https Web
HTTPS协议详解
qq_39971387的博客
11-04 1万+
HTTPS协议概述 1、 HTTPS协议==HTTP协议+SSL/TLS协议,在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,需要用HTTP对加密后的数据进行传输,由此可见,HTTPS协议是由HTTP和SSL/TLS协议一起合作完成的。至于二者之间的区别,HTTP协议有点类似于“裸奔”,他们数据传输是通过明文的形式做传输,即使约定了加密方式,但是第一次传输的时候还是明文;鉴于此,HTTPS使用的是非对称加密,为秘钥的传输外层再做一层保护,非对称加密的一组秘钥对中,包含...
https协议 的工作过程
热门推荐
qq_54219272的博客
04-07 2万+
https协议 的工作过程 文章目录https协议 的工作过程一、用代码构造http请求二、https ☆(这篇帖子的重点)2.1 加密的概念2.2 加密的工作流程2.2.1 对称加密 ☆2.2.2 非对称加密 ☆ 前言: 前面是对http协议的补充,后面的https工作流程才是这篇帖子的重点! 一、用代码构造http请求 1、通过HTML中的form标签,构造出GET/POST请求 ​ > 通过input标签搭配form来使用,实现给服务器提交数据这样的功能。 <form action="ht
https协议的加密方式详解
HarryQUQ的博客
04-21 1795
虽然经过上述内容的加密,对我们日常生活来讲已经非常的安全了,但是这也不是绝对安全的,还是有大佬黑客能破解这些,就是成本问题。所以大家还是要注意自己的隐私不要被窃取,浏览器弹出风险提示也不要点击,或者可以用模拟机点开这个网页,避免关键信息的泄露。!!
HTTPS协议简介
猎户星座
11-29 4177
前言 HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这...
什么是https协议
ccmlove123的博客
01-30 2万+
1. HTTPHTTPS概念 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议的...
HTTP协议HTTPS协议
qq_48391148的博客
08-05 1万+
HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协议HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。 HTTP传输的数据是经过加密的...
Http协议Https协议
weixin_47414034的博客
12-04 4936
Http是不安全的,你的数据容易被黑客拦截,篡改,攻击https要求对数据加密(不能明文传输),用抓包工具抓http请求,抓出来的都是明文的,你能看得懂的,抓https请求,抓出来的都是加密的1.http是明文传输,不适合传输敏感信息,比如身份证,账号,密码https是加密传输,是在http的基础上增加了ssl协议,ssl通过证书对浏览器和服务器之间的通信进行加密,申请证书需要费用2.http的是80端口,https是在443端口 证书,CA名词解释服务器申请SSL证书,来证明www.baidu.com这
HTTPS协议数据加密传输基本内容解析
10-01
很多网友了解过有关于网络协议部分的内容,HTTPS协议还是一知半解的,下面这边文章就为大家简单介绍下HTTPS协议的基本内容,大家了解下,希望对大家有帮助
webRTC视频通话,https协议,录制端和播放端
12-08
在Windows环境下使用nodejs作为服务器,使用https安全协议,能访问到webrtc最新接口; 资源内包含nodejs安装包,电脑虚拟摄像头安装包,https所需安全证书,操作说明书(不用下载别的东西了) 代码中将直播端和显示...
pb9 通过httphttps协议post
01-23
标题中的“pb9 通过httphttps协议post”指的是使用Protocol Buffers(PB)版本9通过HTTPHTTPS协议进行POST请求。Protocol Buffers是Google开发的一种数据序列化协议,它提供了一种高效、灵活的方式来定义数据...
httphttps的主要区别是什么?
软件行业技术文化交流。
07-18 2118
HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议。它构成了Web数据通信的基础,并定义了客户端和服务器之间如何请求和传递网页信息。当您在浏览器中输入一个网址时,浏览器会发送一个HTTP请求到该网址对应的服务器,服务器处理这个请求后返回相应的资源(如HTML页面),以及一个状态码来表示请求的结果。
HTTP性能优化实战:从协议到工具的全面加速指南
renfusheng1993的博客
07-24 975
HTTP性能优化全链路策略:构建毫秒级Web应用 在Web体验为核心的时代,HTTP性能直接影响商业指标和用户体验。研究表明,页面加载时间每增加1秒,转化率下降7%。本文系统梳理了HTTP优化的关键策略:1)精简请求数量,通过资源合并、HTTP/2多路复用等技术;2)采用Brotli/WebP等高效压缩方案;3)设计多级缓存体系;4)网络层优化如TLS 1.3和DNS预加载;5)协议升级到HTTP/3;6)建立监控体系。实战案例显示,某电商通过优化将加载时间从8.2s降至1.8s,转化率提升22%。
什么是HTTP长连接、短连接?谁更能抗DoS攻击?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-23 934
当你在微信聊天时持续发送消息,当股票软件实时刷新数据,背后都是长连接在默默支撑。而浏览静态宣传页时,短连接仍在发挥余热。技术选择启示移动端APP/实时系统:必用长连接(WebSocket基于此)静态内容/CDN分发:智能组合两种模式安全防护:长连接需配套限流策略关注我,带你看懂技术本质!用最接地气的"人话"拆解硬核知识,让复杂概念变得简单易懂 🔥每周更新💡 技术原理图解:一图胜千言,直观呈现技术架构🛠️ 实战案例解析:结合真实项目经验,分享避坑指南。
程序代码篇---python获取http界面上按钮或者数据输入
最新发布
道阻且长,行则将至。
07-27 495
本文介绍了在Python中处理HTTP界面按钮点击和数据输入的两种方法:1) 作为客户端使用requests和BeautifulSoup模拟用户操作网页,自动提交表单数据;2) 作为服务端使用Flask框架搭建Web应用接收用户输入。客户端方法通过解析网页表单结构并构造POST请求模拟点击,服务端方法则通过表单的name属性获取用户提交的数据。两种方式都无需实际"点击"按钮,而是通过处理表单数据来实现交互效果。
istio-proxy用哪个端口代理http流量的?
小诸葛的博客
07-23 1099
在 Istio 中,(基于 Envoy)代理 HTTP 流量的端口取决于具体配置和服务类型。以下是以 Markdown 格式整理的详细说明,涵盖 如何处理 HTTP 流量以及相关端口信息: 使用 iptables 规则 或 直接配置 来拦截和代理应用的流量。HTTP 流量的代理端口通常包括以下几种情况:出站流量(Outbound):入站流量(Inbound):服务定义的端口:可以通过以下方法查看 代理 HTTP 流量的具体端口:在 容器中运行以下命令,查看 Envoy 监听的端口: 或使用更现代的
C语言实现OpenSSH模拟HTTPS协议教程
从提供的文件信息来看,标题和描述存在不一致之处,标题提及的是使用OpenSSH模拟HTTPS协议,而描述则仅提及了HTTPS。为了确保内容的准确性,我会以标题中的信息为准,即讨论如何在C语言中使用OpenSSH库来模拟HTTPS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值