浅析HTTPS

2018年2月9日消息：为了推进HTTPS的普及，谷歌在今天宣布，从今年7月开始，所有HTTP页面都将被标记为“不安全”。
据报道，谷歌将在7月正式发布Chrome 68稳定版，之后所有HTTP页面都将被标记为“不安全”，以提醒用户注意安全。这么做也可以变相降低网站流量，迫使网站运营者转到HTTPS。而对于依然采用HTTP的网站，谷歌将提供设置指南帮助网站过渡到HTTPS。
除了Chrome之外，Firefox也将对所有HTTP网址打上“X”以显示该网站存在安全风险，在Firefox看来，HTTP本身有很多安全漏洞。
以上新闻无疑是为那位曾经为世界互联网革命立下显赫战功的HTTP先生敲响了丧钟！

下面浅析一下HTTP协议与HTTPS协议的关系：
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点：
一、https协议需要到ca申请证书。
二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
四、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

在说明HTTPS协议的工作过程前，先了解一下什么是公钥、私钥：
公钥（Public Key）与私钥（Private Key）是通过一种算法得到的一个密钥对（即一个公钥和一个私钥），公钥是密钥对中公开的部分，私钥则是非公开的部分。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候，用公钥加密数据就必须用私钥解密，用私钥加密的必须用公钥解密，否则解密将不会成功。

密钥所在位置：
WEB服务器：SSL私钥，SSL公钥
客户浏览器：CA公钥
第三方CA机构：CA私钥匙

下面开始讲HTTPS协议工作过程：
WEB服务器首先需要从第三方CA机构申请全球唯一的“SSL私钥\SSL公钥”即“证书”，并部署发布。
工作过程：客户浏览器向WEB服务器请求数据，WEB服务器用SSL私钥加密响应数据，并将加密后的响应数据和SSL公钥（包含所属第三方CA机构信息）一起发送给客户浏览器，客户浏览器通过存储在本地的相应第三方CA机构的CA公钥对获取的SSL公钥（包含对应域名信息）进行加密，并发送到第三方CA机构，第三方CA机构用本地的CA私钥匙对获取的数据进行解密，并在数据库中查询核实SSL公钥的真实性，第三方CA机构将核验结果用CA私钥匙加密，并返给客户浏览器，客户浏览器用存储在本地的CA公钥解密收到的核验结果，若得到“SSL公钥准确”则表明SSL公钥无误，即可用该SSL公钥对收到的WEB服务器的响应数据进行解密，并可用该SSL公钥对本地数据加密后传输到WEB服务器进行新的交互，而WEB服务器则用本地的SSL私钥对新交互数据进行解密，循环往复。

推荐您阅读更多有关于“ https.http  ssl   ”的文章

猜你喜欢

• 免费SSL证书获取2024-2-23 9:39:40