HTTPS简介
图片来源自网络
SSL(Security Sockets Layer,安全套接层)
- 为网络通信提供安全及数据完整性的一种安全协议
- 是操作系统对外的API,SSL3.0后更名为TLS
- 采用身份验证和数据加密保证网络通信的安全和数据的完整性
加密方式
- 对称加密:加密和解密都使用同一个秘钥(效率高)。
- 非对称加密:加密使用的秘钥和解密使用的秘钥是不相同的。(性能较低,安全性十分强)
- 哈希算法:将任意长度的信息转换为固定长度的值,算法不可逆
- 数字签名:证明某个消息或者文件是某人发出/认同的
HTTPS数据传输流程
浏览器会在发送HTTP信息前跟服务器进行握手操作,下面是整体流程:
- 浏览器将支持的加密算法信息发送给服务器
- 服务器选择一套浏览器支持的加密算法,以证书的形式回发浏览器
- 证书的信息有:发布的CA机构、证书的有效期、公钥、所有者、签名等
- CA机构是具有证书颁发的权威机构
- 浏览器验证证书合法性,并结合证书公钥加密信息发送给服务器
- 服务器使用私钥解密握手信息,验证哈希,加密新的握手响应消息回发浏览器
- 浏览器解密握手响应小溪,并对消息进行验真,之后进行加密交互数据
HTTP和HTTPS的区别
- HTTPS需要到CA申请证书,HTTP不需要
- HTTPS密文传输,HTTP明文传输
- 连接方式不同,HTTPS默认使用443端口
- HTTPS = HTTP + 加密 +认证 +完整性保护,较HTTP安全
HTTPS真的安全吗?
- 浏览器默认填充http://,请求需要进行跳转,有被劫持的风险
- 可以使用HSTS(HTTP Strict Transport Security)优化
在接下来的31536000秒(即一年)中,浏览器向example.com或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http://www.example.com/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://www.example.com/ 发送请求。
在接下来的一年中,如果 example.com 服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站。