http通常是直接和TCP进行通信的,而https中http是和SSL通信,再由SSL与TCP进行通信。SSL协议是一个介于应用层和传输层之间的一个安全协议。
1.对称加密与非对称加密
- 对称加密: 加密和解密方式都使用同一个私钥和公开的加密算法,优点是加密速度快,缺点是密钥需要共享。私钥共享就会使得其安全性受到威胁。
- 非对称加密: 非对称加密指的是加密与解密双方使用一对公钥和私钥相配合,加密方使用公钥加密,解密方使用私钥解密。或者反过来,解密方使用公钥加密,加密方使用私钥解密。优点是安全性高,缺点是加密速度慢。
而https则使用两种加密方式混合使用,即SSL协议中使用的对称加密和非对称加密。
- 使用非对称加密方式安全的交换所需要的密钥。
- 确保交换的密钥安全之后,放弃非对称加密,使用对称加密进行通信。
2. https的通信流程
- 客户端发起https请求,请求连接到服务器的443端口。
- 服务器需要提前保存已经申请好的ssl证书,这个证书其实就是一对公钥和私钥。服务器将证书发送给客户端作为非对称加密的公钥。
- 客户端的TLS来解析证书,验证公钥是否有效,如是否是受信任的机构颁发,是否已过期。如果发现异常,就会弹出一个警示框提示证书有问题。如果公钥合格,则会生成一个随机值,并使用公钥将这个随机值加密,这个值就是后续使用对称加密的密钥。至此,https的第一段http请求结束。
- 在将随机值加密之后,客户端会发起第二段http请求,将加密后的随机值发送给服务端。服务端拿到随机值之后使用之前的私钥对其进行解密,得到了随机值的原文,作为后续对称加密的密钥。
- 随后服务器通过随机值密钥来将所请求的数据进行对称加密,然后发送给客户端。客户端拿到加密数据之后,使用随机值密钥进行解密。至此,https的通信结束。
所以https统计主要分为两个阶段:
- .证书验证阶段:
- 浏览器发送请求
- 服务器返回证书
- 客户端验证证书是否有效
- 数据传输阶段:
- 证书合法则生成随机值并加密
- 浏览器发送http请求将随机值发送给服务器
- 服务器使用私钥解密随机值并使用随机值加密数据返回
- 浏览器接收到数据并使用随机值解密