网站首页 > 浅谈HTTPS与HTTP的区别
来源:合肥网站优化 发布时间:2017/9/11 浏览次数:1291次
不知道大家发现没,有的网址是以HTTPS开头,有的是以HTTP开头,那这些有什么区别呢?今天合肥网站优化小编来跟大家简单介绍下。
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。
TLS/SSL 全称安全传输层协议 Transport Layer Security, 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。
1.TLS/SSL 原理
HTTPS 协议的主要功能基本都依赖于 TLS/SSL 协议,本节分析安全协议的实现原理。
TLS/SSL 的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
散列函数 Hash,常见的有 MD5、SHA1、SHA256,该类函数特点是函数单向不可逆、对输入非常敏感、输出长度固定,针对数据的任何修改都会改变散列函数的结果,用于防止信息篡改并验证数据的完整性;对称加密,常见的有 AES-CBC、DES、3DES、AES-GCM等,相同的密钥可以用于信息的加密和解密,掌握密钥才能获取信息,能够防止信息窃听,通信方式是1对1;非对称加密,即常见的 RSA 算法,还包括 ECC、DH 等算法,算法特点是,密钥成对出现,一般称为公钥(公开)和私钥(保密),公钥加密的信息只能私钥解开,私钥加密的信息只能公钥解开。因此掌握公钥的不同客户端之间不能互相解密信息,只能和掌握私钥的服务器进行加密通信,服务器可以实现1对多的通信,客户端也可以用来验证掌握私钥的服务器身份。
在信息传输过程中,散列函数不能单独实现信息防篡改,因为明文传输,中间人可以修改信息之后重新计算信息摘要,因此需要对传输的信息以及信息摘要进行加密;对称加密的优势是信息传输1对1,需要共享相同的密码,密码的安全是保证信息安全的基础,服务器和 N 个客户端通信,需要维持 N 个密码记录,且缺少修改密码的机制;非对称加密的特点是信息传输1对多,服务器只需要维持一个私钥就能够和多个客户端进行加密通信,但服务器发出的信息能够被所有的客户端解密,且该算法的计算复杂,加密速度慢。
结合三类算法的特点,TLS 的基本工作方式是,客户端使用非对称加密与服务器进行通信,实现身份验证并协商对称加密使用的密钥,然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信,不同的节点之间采用的对称密钥不同,从而可以保证信息只能通信双方获取。
2.PKI 体系
(1)RSA 身份验证的隐患
身份验证和密钥协商是 TLS 的基础功能,要求的前提是合法的服务器掌握着对应的私钥。但 RSA 算法无法确保服务器身份的合法性,因为公钥并不包含服务器的信息,存在安全隐患:
客户端 C 和服务器 S 进行通信,中间节点 M 截获了二者的通信;
节点 M 自己计算产生一对公钥 pub_M 和私钥 pri_M;
C 向 S 请求公钥时,M 把自己的公钥 pub_M 发给了 C;
C 使用公钥 pub_M 加密的数据能够被 M 解密,因为 M 掌握对应的私钥 pri_M,而 C 无法根据公钥信息判断服务器的身份,从而 C 和 M 之间建立了”可信”加密连接;
中间节点 M 和服务器S之间再建立合法的连接,因此 C 和 S 之间通信被M完全掌握,M 可以进行信息的窃听、篡改等操作。
另外,服务器也可以对自己的发出的信息进行否认,不承认相关信息是自己发出。
因此该方案下至少存在两类问题:中间人攻击和信息抵赖。
(2) 身份验证-CA 和证书
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构 CA。CA 负责核实公钥的拥有者的信息,并颁发认证”证书”,同时能够为使用者提供证书验证服务,即 PKI 体系。
基本的原理为,CA 负责审核信息,然后对关键信息利用私钥进行”签名”,公开对应的公钥,客户端可以利用公钥验证签名。CA 也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA 使用具体的流程如下:
a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证;
b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等;
c.如信息审核通过,CA 会向申请者签发认证文件-证书。
证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名;
签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行加密,密文即签名;
d.客户端 C 向服务器 S 发出请求时,S 返回证书文件;
e.客户端 C 读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;
f.客户端然后验证证书相关的域名信息、有效时间等信息;
g.客户端会内置信任 CA 的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA 的证书,证书也会被判定非法。
在这个过程注意几点:
a.申请证书不需要提供私钥,确保私钥永远只能服务器掌握;
b.证书的合法性仍然依赖于非对称加密算法,证书主要是增加了服务器信息以及签名;
c.内置 CA 对应的证书称为根证书,颁发者和使用者相同,自己为自己签名,即自签名证书;
d.证书=公钥+申请者与颁发者信息+签名;
以上就是合肥网站优化小编整理的内容,希望可以帮到大家!更多相关资讯欢迎访问http://www.zosyo.com/
>> 相关文章:
·如何选择好的安徽安徽网站建设网站?·网站制作中容易被忽视的因素和一些误解
·通过发散思维提高网络推广营销效率
·长期不更新对网站优化的影响
·提高网站的用户忠诚度,可以尝试从客户体验结果来衡量
·网页设计重要的设计元素是什么?
·移动网站优化应注意的6个问题?
·新网站如何做好站内优化?
·安徽合肥网络公司网站建设的主要流程是什么
·合肥网站优化未来网站发展方向
·安徽seo优化公司如何做好SEO提高网站排名的工作
·网上商城建设找什么样的安徽网站制作公司好
·对分析网站排名后仍然没有转化率的问题
·安徽网站制作公司在企业如何进行有效的网络推广
·合肥网站建设怎样优化网站才能让网站快速打开
·在企业网站建设中提高网站对比度的方法有哪些?
·安徽SEO优化给企业网站做好优化工作
·好设计+好技术会有好的网站建设
·安徽网站优化手机端的优化技巧
·合肥网站制作公司如何用常用的方法维护企业官网
·不利于网站seo优化的误区是什么
·安徽网站建设如何打造一家合格的电商网站
·如何解决网站优化中不包括新站的问题?
·安徽网站优化公司怎样利用直播功能来提升品牌曝光率
·安徽网站制作需要使用哪些软件?
·如何进行网站建设?
·合肥seo优化怎样才能在网络时代赢得更多的顾客
·如何定义网站建设的风格?
·如何建立企业官网,需要哪些主要流程?
·新建的企业网站如何提升网站SEO效果?
·如何规划网站SEO的内容?我们需要注意哪些事项?
·合肥SEO优化所需的思维、技巧和策略
·关于合肥网站建设过程中的一些改进细节问题
·合肥网站建设公司在新网站建设方面怎样做SEO配置
·安徽网站制作单页面网站SEO需要注意哪些问题
·网站SEO导致不良影响的行为有哪些?
·为什么合肥网站建设价格差别这么大?
·安徽网站优化内页排名高的原因是什么?
·营销网站建设有哪些特点?
·网站建设的方式有哪些?
·安徽合肥网络公司在站点打开速度很慢是如何处理
·如何使你的网络推广达到大的性价比?
·合肥网站制作如何做前期沟通?
·如何避免网站过渡优化导致网站降权
·合肥网站优化如何提高和提高百度收录
·如何使合肥seo优化提高长期有效的关键词稳定性排序方法?
·安徽网站建设公司哪家好?做网站找什么样的公司好
·网站建设细节决定成败
·合肥seo优化如何优化关键词排名?要有这些常识!
·在做合肥网站优化的过程中,如何解决网站快照回档的难题?
·安徽网站制作如何设计展示网站更具吸引力和质量
·合肥网站建设中应注意的事项和处理思路
·安徽网站优化谈深入解读SEO资源的重要性
·合肥网站优化百度不收录的原因分析
·什么是站内优化和站外优化?解析站内优化和站外优化的含义。
·安徽网站制作如何实现网站的全面定制?
·合肥网站制作如何实现企业的营销效益
·合肥高端网站建设公司,高端网站页面设计怎么做?
·安徽seo优化公司:seo优化不同网站
·如何把网站改版的SEO损失减低?
·企业新建网站如何做好网站SEO技巧?
·了解网络,分析网站地图的功能
·什么因素决定了安徽中小企业网站建设的成本?
·安徽合肥网络公司稳步提高网站流量的引流策略