1
HTTPS协议是什么
https协议比http协议多了一个s,字面意思上s=secure(安全)。它跟http协议一样都是应用层协议,都是工作在TCP协议之上。
只不过https协议在传输过程中的数据都是经过了加密。本质上HTTPS协议就是在TCP协议之上又加了一层SSL协议来实现了加密这个操作(不准确的说HTTPS就就是披着是SSL的皮的HTTP协议)
2
HTTPS和HTTP的区别
-
HTTP协议工作在80端口,HTTPS协议工作在443端口
-
HTTPS需要申请证书(用于验证服务器身份)
-
HTTP在TCP三次握手建立连接之后即可开始传输数据;HTTPS协议则需要在建立TCP连接之后客户端与服务器在进行SSL加密,确定对话密钥,完成加密后才开始传输数据。
-
HTTPS协议传输是密文,HTTP协议传输是明文
大致的区别就以上4点,其实最主要的就是SSL协议加密对话产生对话密钥的过程。
在了解具体的SSL协议之前,先要了解两个加密概念
3
对称加密
同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也被叫做共享密钥加密。这种方法在网络传输中有个问题,就是如何把密钥安全的交付给对方,因为http协议是明文传输(https协议在建立ssl加密时都是明文传输),所以密钥很容易被监听截取,从而失去密钥本身的意义了。
公开密钥加密
假设使用者为服务端,服务端有两个密钥,一个是私钥(只能自己悄悄咪咪看的,可以比喻成钥匙),一个是公钥(随便哪个看的都行,可以比喻成锁头)。服务端将公钥发给客户端,客户端使用公钥对要发送的信息进行加密,然后发送给服务器(用锁头把数据锁在箱子里),由于该信息是通过服务端的公钥进行加密的,只有服务端使用自己的私钥才能解析出来(用钥匙打开锁头,获取信息)。因为私钥是一直保持在服务端,而又只有私钥才能解析出公钥加密的内容,所以通过该种方法实现了数据的安全传输。
但是由于每次都要使用私钥去解析公钥,才能获取到数据,如果公钥很长的话,其中的运算量会很大,占用CPU性能,从而使得网络延迟加大。
HTTPS协议同时使用了这两种方式,即先通过公开密钥加密的方式产生一个对话密钥,在使用对话密钥进行对称加密的方式传输数据。
SSL协议
- 客户端向服务器发送请求 请求中包含
支持的SSL协议版本 客户端生成的随机数(第一个随机数) 支持的加密方法 支持的压缩方法
-
服务器接收到客户端请求,并且向客户端发送响应
响应包括
确认协议版本 服务器生产的随机数(第二个随机数) 确定加密的方法 服务器的证书(服务器的公钥在里面)
-
客户端接收到请求,对证书进行校验(校验证书的颁布机构,证书中的域名和实际域名是否一致,证书是否过期,如果不符合,浏览器会显示警告),如果通过了校验,客户端将会发送回应
请求包括
客户端生成一个随机数,并且该随机数通过服务器的公钥进行加密(第三个随机数) 编码改变通知(表示之后的通信都会通过双方商定的加密算法进行通信) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。
- 服务器接收到最后的回应之后,使用服务器的私钥来解析出客户端发送过来的第三个随机数,并且使用与客户端约定好的加密算法将一共三个随机数生成对话密钥。服务器返回响应
编码改变通知(表示之后的通信都会通过双方商定的加密算法进行通信) 服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。
整个SSL协议的加密过程大致就是这样,加密对话的过程都是明文传输的(因为HTTPS还没带搭建起来的嘛)。
整个加密过程的核心就是客户端与服务器产生的三个随机数,这三个随机数是用于产生后续数据传输的加密密钥的。从上面的过程可以看出,这三个随机数都是可以别窃取的,但是由于第三个随机数使用了服务器的公钥进行了公开密钥加密传输,理论上只有使用服务器的私钥才能解析出第三个随机数。所以最后使用这三个随机数生成的对话私钥是安全的,之后的数据传输都会使用这个对话私钥进行加密(对称加密),从而保证了传输的安全性又保证了数据传输的效率。
本文作者:摘片叶子
原文发布于简书
以下是我们的社区介绍,欢迎各种合作、交流、学习:)