簡析HTTPS協議的實現原理

作者：數據無憂時間：2020-09-18 13:24:53

1.HTTP傳輸協議的缺點

在上一篇文章中詳細講解了TCP/IP協議棧中的幾個協議，其中就有對HTTP做了一個比較詳細的講解。我們知道，HTTP協議基于TCP進行傳輸的，其中傳輸的內容全都裸露在報文中，如果我們獲取了一個HTTP消息體，那我們可以知道消息體中所有的內容。這其實存在很大的風險，如果HTTP消息體被劫持，那么整個傳輸過程將面臨：

竊聽風險（eavesdropping）：第三方可以獲知通信內容。
篡改風險（tampering）：第三方可以修改通信內容。
冒充風險（pretending）：第三方可以冒充他人身份參與通信。

正因為HTTP協議的這個缺點, HTTP變成了一種不安全的協議。

2. 加密協議SSL/TLS

互聯網加密通信協議的歷史，幾乎與互聯網一樣長。

1994年，NetScape公司設計了SSL協議（Secure Sockets Layer）的1.0版，但是未發布。
1995年，NetScape公司發布SSL 2.0版，很快發現有嚴重漏洞。
1996年，SSL 3.0版問世，得到大規模應用。
1999年，互聯網標準化組織ISOC接替NetScape公司，發布了SSL的升級版TLS 1.0版。
2006年和2008年，TLS進行了兩次升級，分別為TLS 1.1版和TLS 1.2版。最新的變動是2011年TLS 1.2的修訂版。

目前，應用最廣泛的是TLS 1.0，接下來是SSL 3.0。但是，主流瀏覽器都已經實現了TLS 1.2的支持。

TLS 1.0通常被標示為SSL 3.1，TLS 1.1為SSL 3.2，TLS 1.2為SSL 3.3。

3.更加安全的HTTPS

我們知道HTTP的缺點就是報文裸露沒有加密，如果我們對報文進行加密，那么這個缺點就被解決了。通過HTTP和SLL的結合，誕生的HTTPS就是我們這篇文章的主角。

4. HTTP協議和SLL/TLS協議是如何結合使用的

4.1 加密算法

據記載，公元前400年，古希臘人就發明了置換密碼；在第二次世界大戰期間，德國軍方啟用了“恩尼格瑪”密碼機，所以密碼學在社會發展中有著廣泛的用途。

對稱加密

有流式、分組兩種，加密和解密都是使用的同一個密鑰。

例如：DES、AES-GCM、ChaCha20-Poly1305等

非對稱加密

加密使用的密鑰和解密使用的密鑰是不相同的，分別稱為：公鑰、私鑰，公鑰和算法都是公開的，私鑰是保密的。非對稱加密算法性能較低，但是安全性超強，由于其加密特性，非對稱加密算法能加密的數據長度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

哈希算法

將任意長度的信息轉換為較短的固定長度的值，通常其長度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

數字簽名

簽名就是在信息的后面再加上一段內容（信息經過hash后的值），可以證明信息沒有被修改過。hash值一般都會加密后（也就是簽名）再和信息一起發送，以保證這個hash值不被修改。

4.2 對HTTP消息體對稱加密

在經過TCP的三次握手之后，客戶端和服務器開啟了連接，如果對后續雙方傳輸的內容進行對稱加密，那么理論上我們在本次傳輸中防止了內容裸露。但是由于對稱加密使用秘鑰在兩端是一樣的，要維持每個客戶端的秘鑰不一致整套加密才有意義，這樣將會產生海量的秘鑰，維護困難。另外，因為對稱加密需要雙方協商一致，一般可用提前約定，或者使用前傳輸秘鑰，不管是哪種方式，都很容易導致秘鑰邪泄漏。只要黑客獲取到秘鑰，那么所謂的加密傳輸就如同虛設了。