https和http的区别
都是基于tcp的应用层协议
- HTTP:超文本传输协议
js
明文传输
默认端口号80
连接建立相对简单,TCP三次握手- HTTPS
swift
加密传输
默认端口443
加入了SSL/TLS安全协议,建立连接除了TCP三次握手,还要进行SSL/TLS握手
需要向CA申请数字证书https解决了http的哪些问题
https是加密传输:http+TLS/SSL
- 信息加密
- 混合加密,解决了窃听风险,采用对称加密和非对称加密的混合方式,先用非对称加密 交换
会话密钥,再通过会话密钥用对称加密进行通信。
2、校验机制
- 摘要算法实现完整性,为数据生成独一无二的指纹 用于 校验数据的完整性,解决篡改风险
- 用摘要算法计算出内容的哈希值(指纹) 是唯一的,并且无法通过哈希值推导出内容
身份证书
- 将服务器公钥放入到数字证书中,解决了冒充风险,通过CA(数字证书认证机构)来证明公钥的可信
TLS中的加密
采用了对称加密和非对称加密相结合的方式
1、对称加密:
加密和解密用同一把钥匙,加密解密效率很快,但是并不安全2、非对称加密:
分为公钥和私钥,公钥加密,私钥解密
非对称加密需要消耗一定时间,减低了数据传输效率https加密解密过程
-
客户端向服务器端发送:
加密版本(TLS1.2),加密套件(RSA一种算法),客户端随机数
-
服务器端向客户端发送:
确认的加密版本和套件,服务器证书(包含公钥),服务器端随机数
服务器证书: 被ca密钥加密的服务器公钥
-
客户端向服务器端发送:
客户端从证书中获取公钥,生成第三个随机数pre_master_key
用公钥加密这个随机数发送给服务器
此时客户端有三个随机数,使用三个随机数生成一个会话秘钥
使用会话秘钥加密finished报文给服务器端。
整个流程相当于,服务器把锁头给客户端,客户端拿锁加密数据给服务器,服务器用钥匙解密信息finished报文: 生成密钥后,使用密钥加密后发给服务器端
-
服务器使用私钥解密,得到pre_master_key,通过同样算法获得
会话秘钥,将finished报文通过会话秘钥传给客户端 -
此时客户端和服务器端通过非对称加密获得了会话秘钥,通过对称加密进行通信
为什么最后要发finished报文?
1、完整性验证,防止篡改
报文中包含一个哈希值,是对之前握手信息进行哈希运算得到的,服务器收到这个报文后会使用相同的哈希运算计算,和客户端的对比,如果一样说明没有被篡改
2、向服务器/客户端表明已经做好了使用加密通信的准备