转自个人博客0pt1mus
在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。
HTTP的缺点
HTTP主要有这些不足:
- 通信使用明文(不加密),内容可能会被窃听
- 不验证通信方的身份,因此有可能遭遇伪装
- 无法证明报文的完整性,所以有可能已遭篡改
通信使用明文可能会被窃听
-
TCP/IP是可能被窃听的网络
监听相同段上的通信并非难事。只需要手机在互联网上流动的数据包(帧)就行了。
-
加密处理防止被窃听
加密的对象可以有这么几个:
**通信的加密。**一种方式就是将通信加密。HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。
用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)或HTTP over SSL。
**内容的加密。**还有一种将参与通信的内容本身加密的方式。由于HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身加密。即把HTTP报文里所含的内容进行加密处理。
有一点要引起注意,由于该方式不同于SSL或TLS将整个通信线路加密处理,所以内容任然有被篡改的风险。
不验证通信方的身份就可能遭遇伪装
HTTP协议中的请求和响应不会对通信方进行确认。
-
任何人都可发起请求
在HTTP协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求。另外,服务器只要接收到请求,不管对方是谁都会返回一个响应(但也仅限于发送端的IP地址和端口号没有被Web服务器设定限制访问的前提下)。
不确认通信方,会存在以下各种隐患:
无法确定返回响应的Web服务器是真正的服务器
无法确定接收响应的客户端是真正的客户端
无法确定正在通信的对方是否具备访问权限。
无法判定请求是来自何方、出自谁手。
即使无意义的请求也照单全收。DoS(Denial of Service,拒绝服务攻击)。
-
查明对手的证书
HTTP协议无法确定通信方,但使用SSL则可以。SSL不仅提供加密处理,而且还使用了一种被称为证书(证书是第三方颁发的,从技术手段上是很难伪造的)的手段,可用于确定方。
无法证明报文完整性,可能已遭篡改
所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。
- 接收到的内容可能有误
- 如何防止篡改
常用的MD5和SHA-1等散列值校验的方法,以及用来确认文件的数字签名方法。
HTTP+加密+认证+完整性保护=HTTPS
HTTP加上加密处理和认证以及完整性保护后即是HTTPS。
HTTPS是身披SSL外壳的HTTP
HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。
通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。
SSL是当今世界上应用最为广泛的网络安全技术。
相互交换密钥的公开密钥加密技术
SSL采用一种叫做公开密钥加密(Public-key cryptography)的加密方式。
HTTPS采用混合加密机制。HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。
证明公开密钥正确性的证书
公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。
为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。
数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。
此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。