HTTPS

http相关知识点

概念

HTTPS(Hypertext Transfer Protocol Secure)是HTTP协议的安全版本,它通过SSL/TLS协议来加密HTTP通信,确保数据在传输过程中的安全性和完整性。以下是HTTPS的详细解释:

工作原理

  1. SSL/TLS握手过程

    • 客户端发送"Client Hello"消息,包含支持的SSL/TLS版本、加密算法等信息。
    • 服务器回应"Server Hello",选择使用的协议版本和加密算法。
    • 服务器发送其数字证书(包含公钥)给客户端。
    • 客户端验证证书的有效性。
    • 客户端生成一个随机的预主密钥,用服务器的公钥加密后发送给服务器。
    • 服务器用私钥解密,获得预主密钥。
    • 双方使用预主密钥生成会话密钥。
    • 之后的通信使用会话密钥进行对称加密。
  2. 数据传输

    • 使用协商好的对称加密算法和会话密钥加密HTTP数据。
    • 加密的数据被封装在TLS记录中传输。

主要特点

  1. 加密:所有传输的数据都经过加密,防止被窃听。

  2. 数据完整性 :通过消息认证码(MAC)确保数据在传输过程中未被篡改。

  3. 身份认证:通过数字证书验证服务器的身份,防止中间人攻击。

  4. 前向保密:即使长期使用的私钥泄露,之前的通信仍然安全。

证书类型

  1. 域名验证(DV)证书:仅验证域名所有权,适用于不处理敏感信息、需要基本加密和快速发放证书的个人或小型网站。
  2. 组织验证(OV)证书:验证域名所有权和组织信息,适用于需要在网上展示企业身份、增强客户信任但不直接处理高度敏感信息的中小企业网站。
  3. 扩展验证(EV)证书:最高级别的验证,包括严格的组织身份审核,适用于处理高度敏感信息、需要最高级别信任和安全保障的网站,如银行金融机构和大型电商平台。

优势

  1. 安全性:保护敏感信息,如登录凭证、信用卡信息等。
  2. SEO优势:搜索引擎更青睐HTTPS网站。
  3. 用户信任:浏览器通常会显示锁定图标,增加用户信心。
  4. 新特性支持:某些现代Web API只在HTTPS环境下可用。

潜在缺点

  1. 性能开销:加密和解密过程可能略微增加延迟。
  2. 成本:需要购买和维护SSL/TLS证书。
  3. 配置复杂性:正确配置HTTPS可能比HTTP更复杂。

最佳实践

  1. 使用强加密算法:如AES-256。
  2. 定期更新证书:确保证书始终有效。
  3. 启用HTTP严格传输安全(HSTS):强制浏览器始终通过HTTPS连接。
  4. 保护私钥:确保服务器私钥的安全存储。
  5. 全站HTTPS:将整个网站迁移到HTTPS,而不仅仅是登录页面。

未来发展

  • TLS 1.3:最新版本的TLS协议,提供更快的握手和更强的安全性。
  • QUIC协议:基于UDP的传输协议,旨在提供更快的加密连接。

HTTPS已成为现代Web的标准,不仅提供了必要的安全保护,还为更丰富、更安全的Web体验铺平了道路。

交互流程

客户端                                      服务器
  |                                           |
  | (1) ClientHello                           |
  | (支持的协议版本、加密套件列表、随机数)     |
  |------------------------------------------>|
  |                                           |
  | (2) ServerHello                           |
  | (选择的协议版本、加密套件、随机数)         |
  |<------------------------------------------|
  |                                           |
  | (3) 服务器证书                            |
  |<------------------------------------------|
  |                                           |
  | (4) 客户端验证证书                        |
  |                                           |
  | (5) ClientKeyExchange                     |
  | (预主密钥,用服务器公钥加密)               |
  |------------------------------------------>|
  |                                           |
  | (6) 服务器用私钥解密预主密钥              |
  |                                           |
  | (7) 双方独立计算会话密钥                  |
  |                                           |
  | (8) ChangeCipherSpec(客户端确认秘钥)        |
  |------------------------------------------>|
  |                                           |
  | (9) Finished (客户端)                     |
  |------------------------------------------>|
  |                                           |
  | (10) ChangeCipherSpec (服务器确认秘钥)     |
  |<------------------------------------------|
  |                                           |
  | (11) Finished (服务器)                    |
  |<------------------------------------------|
  |                                           |
  | (12) 应用数据交互(加密)                     |
  |<=========================================>|
  |                                           |

详细步骤解释:

  1. ClientHello:

    • 客户端发送支持的TLS版本、加密套件列表和一个随机数。
    • 作用:初始化连接,提供客户端能力。
  2. ServerHello:

    • 服务器选择TLS版本和加密套件,发送自己的随机数。
    • 作用:确定通信参数。
  3. 服务器证书:

    • 服务器发送其SSL/TLS证书。
    • 作用:提供服务器身份验证信息。
  4. 客户端验证证书:

    • 客户端验证证书的有效性、信任链、域名匹配等。
    • 作用:确保服务器身份的真实性,防止中间人攻击。
  5. ClientKeyExchange:

    • 客户端生成预主密钥,用服务器公钥加密后发送。
    • 作用:安全传输用于生成会话密钥的材料。
  6. 服务器解密预主密钥:

    • 服务器用私钥解密获得预主密钥。
    • 作用:获取共享的密钥材料。
  7. 双方计算会话密钥:

    • 客户端和服务器使用相同的算法,基于预主密钥和之前交换的随机数计算会话密钥。
    • 作用:生成用于加密通信的对称密钥。
  8. ChangeCipherSpec (客户端):

    • 客户端通知服务器后续将使用新协商的加密参数和密钥。
    • 作用:标志加密通信的开始。
  9. Finished (客户端):

    • 客户端发送经过新密钥加密的握手消息摘要。
    • 作用:验证握手的完整性和密钥的正确性。
  10. ChangeCipherSpec (服务器):

    • 服务器通知客户端后续将使用新协商的加密参数和密钥。
    • 作用:确认服务器端加密通信的开始。
  11. Finished (服务器):

    • 服务器发送经过新密钥加密的握手消息摘要。
    • 作用:服务器端验证握手的完整性和密钥的正确性。
  12. 应用数据:

    • 双方使用协商好的会话密钥进行加密通信。
    • 作用:安全传输应用层数据。

这个完整的流程包括了加密套件的协商、证书的验证、密钥的交换和验证等所有关键步骤,确保了HTTPS通信的安全性和完整性。

相关推荐
‘’林花谢了春红‘’1 小时前
计算机网络习题(第5章 网络层 第6章 传输层)
网络·计算机网络
hgdlip2 小时前
手机IP地址:定义、查看与切换方法
网络协议·tcp/ip·智能手机
霸气的哦尼酱4 小时前
物理层知识要点
计算机网络
dengjiayue5 小时前
tcp 的重传,流量控制,拥塞控制
网络协议·tcp/ip
lfwendula09 小时前
组相联映射 set-associative mapping
计算机网络
Aileen_0v011 小时前
【AI驱动的数据结构:包装类的艺术与科学】
linux·数据结构·人工智能·笔记·网络协议·tcp/ip·whisper
花鱼白羊12 小时前
TCP Vegas拥塞控制算法——baseRtt 和 minRtt的区别
服务器·网络协议·tcp/ip
唐 城13 小时前
curl 放弃对 Hyper Rust HTTP 后端的支持
开发语言·http·rust
CHENGlady14 小时前
传输层协议分析头歌
计算机网络
DevilHeart灬15 小时前
使用Grafana中按钮插件实现收发HTTP请求
http·grafana