甘肃机械化建设工程有限公司网站0元做游戏代理
在学习http与https的区别的时候,我们通常从以下几点出发:
http是超文本传输协议,是明文传输,有安全风险,https在TCP和http网络层之间加入了SSL/TLS安全协议,使得报文能够加密传输
http连接简单,三次握手后即可传输,但是https在三次握手之后还要进行SSL/TLS的握手过程,才能加密报文传输
两者端口号不一样,http默认端口号是80,HTTPS默认端口号是443
https需要申请CA证书,需要付费
从上面的区别我们可以看出,我们使用https就是看中了他比较安全,但是他是如何确保安全的呢?
你可能会说,它不止进行TCP三次握手还要进行SSL/TLS握手,这样确保了它的安全性。
但是SSL/TLS是什么呢?它们又是怎样加密的呢?
SSL和TLS
SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名保证完整性、使用加密确保私密性,以实现客户端和服务端之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。
TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。
SSL和TLS是一种能够在服务器,machines和通过网络运行的应用程序(例如,客户端连接到web服务器)之间提供身份认证和数据加密的加密协议。SSL是TLS的前世。多年来,新版本的发布用来解决漏洞,提供更强大支持,更安全的密码套件和算法。
为什么要使用SSL/TLS?
因为HTTP是明文传输,所谓明文,就是说客户端和服务端通信的信息都是肉眼可见的,随意使用一个抓包工具都可以截获通信的内容
所以会存在以下三个风险“
窃听风险,第三方可以获取通信内容
篡改风险,第三方可以修改通信内容,比如强制植入垃圾广告
冒充风险,第三方冒充他人身份进行通信
HTTPS在HTTP与TCP之间加入了TLS协议,来解决上述风险。
TLS是如何解决上述风险的呢?
信息加密:HTTP交互信息是被加密的,第三方就无法被窃取
校验机制:校验信息传输过程中是否有被第三方篡改过,如果被篡改过,则会有警告提示;
身份证书:验证所要访问网站的证书,判断其真实性
TLS的握手过程
加密方式
传统的TLS握手基本上都是使用RSA算法来实现密钥交换的,服务端将自己的公钥在TLS的握手阶段 传递给客户端,服务端的私钥一直留在自己这,一定要确保私钥不能被窃取。
在RSA密钥协商算法中,客户端会生成随机密钥,并使用服务端的公钥加密后再传给服务端。根据非对称加密算法,公钥加密的消息仅能通过私钥接你,这样服务器解密后,双方就得到了相同的密钥,再用它加密应用消息。