前言

在HTTP協(xié)議中有可能存在信息竊聽或身份偽裝等安全問題。使用HTTPS通信機制可以有效地防止這些問題。本文我們就了解一下HTTPS。

網(wǎng)站制作、成都做網(wǎng)站的開發(fā)，更需要了解用戶，從用戶角度來建設(shè)網(wǎng)站，獲得較好的用戶體驗。創(chuàng)新互聯(lián)多年互聯(lián)網(wǎng)經(jīng)驗，見的多，溝通容易、能幫助客戶提出的運營建議。作為成都一家網(wǎng)絡(luò)公司，打造的就是網(wǎng)站建設(shè)產(chǎn)品直銷的概念。選擇創(chuàng)新互聯(lián)，不只是建站，我們把建站作為產(chǎn)品，不斷的更新、完善，讓每位來訪用戶感受到浩方產(chǎn)品的價值服務(wù)。

cdn.xitu.io/2018/12/23/167d96dd4958c9fd?w=850&h=340&f=jpeg&s=21738">

一、什么是 HTTPS

HTTPS，是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。 現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

經(jīng)常會在Web的登錄頁面和購物結(jié)算界面等使用HTTPS通信。使用HTTPS通信時，不再用http://，而是改用https://。另外，當(dāng)瀏覽器訪問HTTPS通信有效的Web網(wǎng)站時，瀏覽器的地址欄內(nèi)會出現(xiàn)一個帶鎖的標記。對HTTPS的顯示方式會因瀏覽器的不同而有所改變。

二、HTTP 與 HTTPS 的區(qū)別

• HTTP 是明文傳輸，HTTPS 通過 SSL\TLS 進行了加密
• HTTP 的端口號是 80，HTTPS 是 443
• HTTPS 需要到 CA 申請證書，一般免費證書很少，需要交費
• HTTPS 的連接很簡單，是無狀態(tài)的；HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議，比 HTTP 協(xié)議安全。

為什么說HTTPS比較安全了，接下我們介紹下HTTP存在哪些問題？

三、HTTP通信有什么問題?

1.通信使用明文（不加密），內(nèi)容可能被竊聽

由于HTTP本身不具備加密的功能，所以也無法做到對通信整體（使用HTTP協(xié)議通信的請求和響應(yīng)的內(nèi)容）進行加密。即，HTTP報文使用明文（指未經(jīng)過加密的報文）方式發(fā)送。

此外互聯(lián)網(wǎng)是由聯(lián)通世界各個地方的網(wǎng)絡(luò)設(shè)施組成,所有發(fā)送和接收經(jīng)過某些設(shè)備的數(shù)據(jù)都可能被截獲或窺視。例如大家都熟悉的抓包工具:Wireshark,它可以獲取HTTP協(xié)議的請求和響應(yīng)的內(nèi)容，并對其進行解析。即使經(jīng)過加密處理，就有可能讓人無法破解報文信息的含義，但加密處理后的報文信息本身還是會被看到的。

2.不驗證通信方的身份，因此有可能遭遇偽裝

HTTP協(xié)議中的請求和響應(yīng)不會對通信方進行確認。在HTTP協(xié)議通信時，由于不存在確認通信方的處理步驟，任何人都可以發(fā)起請求。另外，服務(wù)器只要接收到請求，不管對方是誰都會返回一個響應(yīng)（但也僅限于發(fā)送端的IP地址和端口號沒有被Web服務(wù)器設(shè)定限制訪問的前提下）

HTTP協(xié)議的實現(xiàn)本身非常簡單，不論是誰發(fā)送過來的請求都會返回響應(yīng)，因此不確認通信方，會存在以下各種隱患。比如目標的Web服務(wù)器有可能是已偽裝的Web服務(wù)器。

3.無法證明報文的完整性，所以可能遭篡改

所謂完整性是指信息的準確度。若無法證明其完整性，通常也就意味著無法判斷信息是否準確。由于HTTP協(xié)議無法證明通信的報文完整性，因此，在請求或響應(yīng)送出之后直到對方接收之前的這段時間內(nèi)，即使請求或響應(yīng)的內(nèi)容遭到篡改，也沒有辦法獲悉。
換句話說，沒有任何辦法確認，發(fā)出的請求/響應(yīng)和接收到的請求/響應(yīng)是前后相同的。

四、HTTPS如何解決上述三個問題?

HTTPS并非是應(yīng)用層的一種新協(xié)議。只是HTTP通信接口部分用SSL（Secure Socket Layer）和TLS（Transport Layer Security）協(xié)議代替而已。

通常，HTTP直接和TCP通信。當(dāng)使用SSL時，則演變成先和SSL通信，再由SSL和TCP通信了。簡言之，所謂HTTPS，其實就是身披SSL協(xié)議這層外殼的HTTP。

在采用SSL后，HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能。也就是說HTTP加上加密處理和認證以及完整性保護后即是HTTPS。

HTTPS 協(xié)議的主要功能基本都依賴于 TLS/SSL 協(xié)議，TLS/SSL 的功能實現(xiàn)主要依賴于三類基本算法：散列函數(shù) 、對稱加密和非對稱加密，其利用非對稱加密實現(xiàn)身份認證和密鑰協(xié)商，對稱加密算法采用協(xié)商的密鑰對數(shù)據(jù)加密，基于散列函數(shù)驗證信息的完整性。

（一）解決內(nèi)容可能被竊聽的問題——加密

1.對稱加密

這種方式加密和解密同用一個密鑰。加密和解密都會用到密鑰。沒有密鑰就無法對密碼解密，反過來說，任何人只要持有密鑰就能解密了。

以對稱加密方式加密時必須將密鑰也發(fā)給對方。可究竟怎樣才能安全地轉(zhuǎn)交？在互聯(lián)網(wǎng)上轉(zhuǎn)發(fā)密鑰時，如果通信被監(jiān)聽那么密鑰就可會落人***者之手，同時也就失去了加密的意義。另外還得設(shè)法安全地保管接收到的密鑰。

2.非對稱加密

公開密鑰加密使用一對非對稱的密鑰。一把叫做私有密鑰，另一把叫做公開密鑰。顧名思義，私有密鑰不能讓其他任何人知道，而公開密鑰則可以隨意發(fā)布，任何人都可以獲得。

使用公開密鑰加密方式，發(fā)送密文的一方使用對方的公開密鑰進行加密處理，對方收到被加密的信息后，再使用自己的私有密鑰進行解密。利用這種方式，不需要發(fā)送用來解密的私有密鑰，也不必擔(dān)心密鑰被***者竊聽而盜走。

非對稱加密的特點是信息傳輸一對多，服務(wù)器只需要維持一個私鑰就能夠和多個客戶端進行加密通信，但服務(wù)器發(fā)出的信息能夠被所有的客戶端解密，且該算法的計算復(fù)雜，加密速度慢。

3.對稱加密+非對稱加密

盡管非對稱加密設(shè)計奇妙,但它加解密的效率比對稱加密要慢多了。那我們就將對稱加密與非對稱加密結(jié)合起來,充分利用兩者各自的優(yōu)勢，將多種方法組合起來用于通信。在交換密鑰環(huán)節(jié)使用非對稱加密方式，之后的建立通信交換報文階段則使用對稱加密方式。具體做法是：發(fā)送密文的一方使用對方的公鑰進行加密處理“對稱的密鑰”，然后對方用自己的私鑰解密拿到“對稱的密鑰”，這樣可以確保交換的密鑰是安全的前提下，使用對稱加密方式進行通信。所以，HTTPS采用對稱加密和非對稱加密兩者并用的混合加密機制。

（二）解決報文可能遭篡改問題——數(shù)字簽名

網(wǎng)絡(luò)傳輸過程中需要經(jīng)過很多中間節(jié)點，雖然數(shù)據(jù)無法被解密，但可能被篡改，那如何校驗數(shù)據(jù)的完整性呢？----校驗數(shù)字簽名。

數(shù)字簽名有兩種功效：

• 能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。
• 數(shù)字簽名能確定消息的完整性,證明數(shù)據(jù)是否未被篡改過。

校驗數(shù)字簽名流程見下圖：

數(shù)字簽名技術(shù)就是對“非對稱密鑰加解密”和“數(shù)字摘要“兩項技術(shù)的應(yīng)用，它將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。

（三）解決通信方身份可能被偽裝的問題——認證

非對稱加密方式還是存在一些問題的。那就是無法證明公開密鑰本身就是貨真價實的公開密鑰。比如，正準備和某臺服務(wù)器建立公開密鑰加密方式下的通信時，如何證明收到的公開密鑰就是原本預(yù)想的那臺服務(wù)器發(fā)行的公開密鑰。
為了解決上述問題，可以使用由數(shù)字證書認證機構(gòu)（CA，Certificate Authority）和其相關(guān)機關(guān)頒發(fā)的公開密鑰證書。

數(shù)字證書認證機構(gòu)處于客戶端與服務(wù)器雙方都可信賴的第三方機構(gòu)的立場上。我們來介紹一下數(shù)字證書認證機構(gòu)的業(yè)務(wù)流程。首先，服務(wù)器的運營人員向數(shù)字證書認證機構(gòu)提出公開密鑰的申請。數(shù)字證書認證機構(gòu)在判明提出申請者的身份之后，會對已申請的公開密鑰做數(shù)字簽名，然后分配這個已簽名的公開密鑰，并將該公開密鑰放入公鑰證書后綁定在一起。
服務(wù)器會將這份由數(shù)字證書認證機構(gòu)頒發(fā)的公鑰證書發(fā)送給客戶端，以進行非對稱加密方式通信。公鑰證書也可叫做數(shù)字證書或直接稱為證書。

接到證書的客戶端可使用數(shù)字證書認證機構(gòu)的公開密鑰，對那張證書上的數(shù)字簽名進行驗證，一旦驗證通過，客戶端便可明確兩件事：一，認證服務(wù)器的公開密鑰的是真實有效的數(shù)字證書認證機構(gòu)。二，服務(wù)器的公開密鑰是值得信賴的。

五、為什么不一直使用HTTPS？

既然HTTPS那么安全可靠，那為何所有的Web網(wǎng)站不一直使用HTTPS？

其中一個原因是，因為與純文本通信相比，加密通信會消耗更多的CPU及內(nèi)存資源。如果每次通信都加密，會消耗相當(dāng)多的資源，平攤到一臺計算機上時，能夠處理的請求數(shù)量必定也會隨之減少。
因此，如果是非敏感信息則使用HTTP通信，只有在包含個人信息等敏感數(shù)據(jù)時，才利用HTTPS加密通信。
特別是每當(dāng)那些訪問量較多的Web網(wǎng)站在進行加密處理時，它們所承擔(dān)著的負載不容小覷。

除此之外，想要節(jié)約購買證書的開銷也是原因之一。要進行HTTPS通信，證書是必不可少的。而使用的證書必須向認證機構(gòu)（CA）購買。

參考文章

• 網(wǎng)絡(luò)協(xié)議 13 - HTTPS 協(xié)議：加密路上無盡頭
• 圖解HTTP
• 談?wù)?HTTPS
• HTTPS 原理詳解
• 關(guān)于HTTPS，你需要知道的全部
• 詳解HTTPS是如何確保安全性的？