HTTP的缺点
- 通信使用明文(不加密),内容可能会被窃听
- 不验证通信方的身份,因此有可能遭遇伪装
- 无法证明报文的完整性,所以有可能已遭篡改
其他未加密的协议中也会存在这类问题。
通信使用明文可能会被窃听
- TCP/IP是可能被窃听的网络
按TCP/IP协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视
即使已经过加密处理的通信,也会被窥视到通信内容。只是说如果通信经过加密,就有可能让人无法破解报文信息的含义,但加密处理后的报文信息本身还是会被看到的。 - 加密处理防止被窃听
加密的对象列举如下:
通信的加密:HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。
内容的加密:即把HTTP报文里所含的内容进行加密处理。但是,由于该方式不同于SSL或TLS将整个通信线路加密处理,所以内容仍有被篡改的风险。
不验证通信方的身份就可能遭遇伪装
- 任何人都可发起请求
-
查明对手的证书
虽然使用HTTP协议无法确定同新方,但如果使用SSL则可以。SSL不仅提供加密处理,而且还是用了一种被称为证书的手段,而用于确定放。
无法证明报文完整性,可能已遭篡改
- 接收到的内容可能有误:请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击称为中间人攻击。
- 如何防止篡改:虽然有使用HTTP协议确定报文完整性的方法,但事实上并不便捷、可靠。其中常用的是MD5和SHA-1等散列值校验的方法,以及用来确认文件的数字签名方法。
HTTP+加密+认证+完整性保护=HTTPS
HTTP加上加密处理和认证以及完整性保护后即是HTTPS
HTTPS是身披SSL外壳的HTTP
HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议代替而已。 在采用SSL后,HTTP就拥有了HTTPS的加密、证书和完整性保护这些功能。
SSL是独立于HTTP的协议,所以不光是HTTP协议,其他运行在应用层的SMTP和Telnet等协议均可配合SSL协议使用。
相互交换秘钥的公开秘钥加密技术
SSL采用一种叫做公开密钥加密的加密处理方式。近代的加密方式中加密算法是公开的,而密钥却是保密的。
加密和解密都会用到密钥。任何人只有持有密钥就能解密了。如果密钥被攻击者获得,那加密也就失去了意义。
-
共享密钥加密的困境:加密和解密通用一个密钥的方式称为共享密钥加密,也被叫做对称密钥加密。
-
使用两把密钥的公开密钥加密:使用一堆非对称的密钥。一把叫做私有密钥,另一把叫做公开密钥。私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,任何人都可以获得。
使用公开密钥加密方式,发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,再使用自己的私有密钥进行解密。
-
HTTPS采用混合加密机制:因为公开密钥加密与共享密钥加密相比,其处理速度要慢,所以应充分利用两者各自的优势,在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式。
证明公开密钥正确性的证书
公开密钥加密方式存在一些问题。那就是无法证明公开密钥本身就是货真价实的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。
- 可证明阻止真实性的EV SSL证书:用来证明作为通信一方的服务器是否规范,另一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书。
- 用以确认客户端的客户端证书:HTTPS还恶意使用客户端正式。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,起作用跟服务器证书如出一辙。
- 认证机构信誉第一
- 有自认证机构颁发的证书称为自签名证书:如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用。浏览器访问该服务器时,会显示“无法确认安全性”等警告消息。
HTTPS的安全通信机制
步骤 1: 客户端通过发送 Client Hello 报文开始 SSL通信。 报文中包
含客户端支持的 SSL的指定版本、 加密组件(Cipher Suite) 列表(所使用的加密算法及密钥长度等) 。
步骤 2: 服务器可进行 SSL通信时, 会以 Server Hello 报文作为应答。 和客户端一样, 在报文中包含 SSL版本以及加密组件。 服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3: 之后服务器发送 Certificate 报文。 报文中包含公开密钥证书。
步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端, 最初阶段的 SSL握手协商部分结束。
步骤 5: SSL第一次握手结束之后, 客户端以 Client Key Exchange 报文作为回应。 报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。 该报文已用步骤 3 中的公开密钥进行加密。
步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。 该报文会提示服务器, 在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7: 客户端发送 Finished 报文。 该报文包含连接至今全部报文的整体校验值。 这次握手协商是否能够成功, 要以服务器是否能够正确解密该报文作为判定标准。
步骤 8: 服务器同样发送 Change Cipher Spec 报文。
步骤 9: 服务器同样发送 Finished 报文。
步骤 10: 服务器和客户端的 Finished 报文交换完毕之后, SSL连接就算建立完成。 当然, 通信会受到 SSL的保护。 从此处开始进行应用层协议的通信, 即发送 HTTP 请求。
步骤 11: 应用层协议通信, 即发送 HTTP 响应。
步骤 12: 最后由客户端断开连接。 断开连接时, 发送 close_notify 报文。 上图做了一些省略, 这步之后再发送 TCP FIN 报文来关闭与 TCP的通信。
- SSL和TLS
TLS是以SSL为原型开发的协议,有时会统一称该协议为SSL。以前主流的版本是SSL3.0和TLS1.0。 -
SSL缺点
当使用SSL时,它的处理速度会变慢。
SSL慢分两种:一种是通信慢;另一种是指由于大量消耗了CPU及内存等资源,导致处理速度变慢。
为什么不一直使用HTTPS:1.加密通信会消耗更多的CPU及内存资源。一般来说只有在包含个人信息等敏感数据时,才利用HTTPS加密通信。2.想要节约购买证书的开销。