HTTPS协议入门

HTTPS协议入门

1. HTTPS出现的背景

虽然HTPP协议很优秀并且方便，但是不得不正视HTTP协议存在的一些问题：

• 通信使用明文（不加密），内容可能会被窃听；
• 不验证通信双方的身份，因此有可能遭遇伪装；
• 无法证明报文的完整性，所以有可能已遭篡改；

这些问题不仅在HTTP协议上出现，其他未加密的协议中也会存在这类问题。

由于这些问题的存在，HTTPS协议就应运而生，HTTPS，超文本传输安全协议，是和SSL（Secure Socket Layer，安全套接层）或者TLS（Transport Layer Security，安全传输层协议）组合使用的，通常HTTP直接和TCP通信，当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信了。

2. HTTPS的三大功能

上面提到了HTPP协议的不足，下面说一下HTTPS是如何解决这三个问题的。

2.1 通信使用明文（不加密），内容可能会被窃听

在网络上传输信息，本身就是可以被他人截获的，比如通过抓包工具，第三者就可以在同局域网的一台主机，或者路由器或者互联网的任何地方都可能被截获数据。HTPP使用明文传输，相当于你传输的数据完全暴露在了网络上。

HTTPS传输数据的时候会对通信进行加密，使用SSL建立安全线路之后，就可以在这条线路上进行HTTP通信了。相当于单独建立了一条安全信道。

2.2 不验证通信双方的身份，因此有可能遭遇伪装

HTTP协议中的请求和响应不会对通信双方进行确认，也就是说存在“服务器是否就是发送请求中URI真正的主机，返回的响应是否是真的返回到实际提出请求的客户端”等类似问题。并且，由于不存在通信双方的处理步骤，任何人都可以发起请求。可能会出现DOS攻击等问题。

HTTPS中SSL就可以确认确认通信方，它提供了一种被称为证书的手段，证书由值得信赖的第三方机构颁发，用以证明服务器和客户端是实际存在的，另外伪造证书从技术角度说是异常困难的一件事，所以只要能确认通信方持有的证书就可以判断通信方的真实意图。

2.3 无法证明报文的完整性，所以有可能已遭篡改

HTTP协议无法确认客户端发出的请求和服务端接收到的请求是相同的，同样，也无法确认服务端发送的响应和客户端接收的响应是相同的。很容易出现中间人攻击。

虽然HTTP协议可以使用md5等信息摘要算法保证数据完整性，但是MD5本身都可能被篡改，也就无法保证其安全性。SSL提供了摘要功能。可以保证数据的完整性。

从HTTPS的功能来看，可以总结为：HTTP+加密+认证+完整性保护=HTTPS。

3. HTTPS的混合加密机制

首先先来谈谈两种加密方法：

• 共享密钥加密：加密和解密使用相同的密钥，但是在通信的时候需要把密钥也一并发送，这样有可能被别人截获；
• 公开密钥加密：加密和解密使用不同的密钥，服务器提供公开密钥，客户端使用公开密钥对数据进行加密，然后服务器使用私有密钥对密文进行解密，这样就保证密文不会被破解。

但是使用公开密钥加密方式传输数据比较慢，所以HTTPS结合了两者的优点，使用混合加密机制，首先在交换密钥的时候使用公开密钥加密方式，确认连接后，传输数据使用共享密钥加密方式。

4. HTTPS使用场景

当使用HTTPS时，通信会变慢，导致通信变慢的原因有两个，一是网络负载，当使用HTTPS进行通信时，网络负载比HTTP要高2-100倍。而是由于HTTPS每次通信都要加解密，对CPU的消耗也很大。所以一般只有在传输机密信息时使用HTTPS，比如用户密码，银行信息等。

再有就是使用HTTPS需要支付购买证书的费用，一些机构考虑到这点也可能优先选择HTTP协议。

参考：

《图解HTTP》