柚子快報(bào)邀請(qǐng)碼778899分享：確保Web安全的https

http://yzkb.51969.com/

一.為什么要有HTTPS

? ? ? 1.HTTP的缺點(diǎn)

? ? ? ? ?雖然http具有方便和優(yōu)秀的一面，但是HTTP并非只有好的一面，HTTP也具有不足之處，舉例如下：

? ? ? ? ?（1）.在通信使用中使用不加密的明文傳輸，內(nèi)容可能會(huì)遭到竊聽(tīng)

? ? ? ? ?（2）.不驗(yàn)證通信方的身份，所以有可能會(huì)遭遇偽裝，也就是說(shuō)任何人都可以發(fā)起請(qǐng)求

? ? ? ? ? ?(3).無(wú)法驗(yàn)證報(bào)文的完整性，所以使得通信內(nèi)容可能已經(jīng)遭到篡改

在上面的闡述中，為了應(yīng)對(duì)這些漏洞可能帶來(lái)的風(fēng)險(xiǎn)，普遍使用加密技術(shù)來(lái)來(lái)防止竊聽(tīng)保護(hù)信息，加密的對(duì)象可以有這么幾個(gè)：通信的加密和內(nèi)容的加密。

二.什么是HTTPS

? ? ? 1.HTTPS的定義：HTTP+加密+認(rèn)證+完整性保護(hù)=HTTPS

? ? ? ? ? ?如果在HTTP協(xié)議通信過(guò)程中使用未經(jīng)加密的明文，比如在Web頁(yè)面中輸入個(gè)人信息和密碼，如果這條通信線路遭遇竊聽(tīng)，那么個(gè)人信息的密碼就暴露了。此外，對(duì)于HTTP來(lái)說(shuō)，不管是服務(wù)器還是客戶端都是沒(méi)有辦法確認(rèn)通信方的，所以說(shuō)實(shí)際的通信可能并不是和預(yù)想的通信方在進(jìn)行通信，并且還要考慮到接受的報(bào)文可能在通信途中已經(jīng)遭到篡改的情況。

? ? ? ? ? ?所以，為了解決上述問(wèn)題，我們需要在HTTP中再加入加密處理和認(rèn)證等機(jī)制，我們把添加了加密以及認(rèn)證機(jī)制的HTTP稱為HTTPS。

三.加密的方式

? ? ? 1.通信的加密?

? ? ? ? ? HTTP協(xié)議中沒(méi)有加密機(jī)制，但是可以通過(guò)和SSL(安全層套階層)或者TLS(安全層傳輸協(xié)議)的組合使用，加密HTTP的通信內(nèi)容。如果使用了SSL，不僅可以提供加密處理，還使用了一種被稱為證書(shū)的手段，可以用于確定方。

? ? ? ? ? SSL采用了一種叫做公開(kāi)密鑰加密的處理方式，公開(kāi)密鑰加密使用了一對(duì)非對(duì)稱的密鑰，一把叫做私有密鑰，另一把叫做公開(kāi)密鑰。私有密鑰不能讓其他任何人知道，而公開(kāi)密鑰可以隨意發(fā)布，任何人都可以獲得。使用公開(kāi)密鑰加密方式，發(fā)送密文的一方使用對(duì)方的公開(kāi)密鑰進(jìn)行加密處理，對(duì)方收到被加密的信息之后，再使用自己的私有密鑰進(jìn)行解密，使用這種方式，不需要發(fā)送用來(lái)解密的私有密鑰，也不必?fù)?dān)心密鑰被攻擊者竊聽(tīng)而盜走。

? ? ? 2.內(nèi)容的加密

? ? ? ? ? ?由于HTTP協(xié)議中沒(méi)有加密機(jī)制，那么就可以對(duì)HTTP協(xié)議傳輸?shù)膬?nèi)容本身加密，也就是把HTTP報(bào)文里所含的內(nèi)容進(jìn)行加密處理，在這種情況下，客戶端需要對(duì)HTTP報(bào)文進(jìn)行加密處理后再發(fā)送請(qǐng)求。但是前提是要求客戶端和服務(wù)器同時(shí)具備加密和解密機(jī)制，但是該方式不同于SSL和TLS用于整個(gè)通信線路的加密，所以內(nèi)容仍然有被篡改的風(fēng)險(xiǎn)。

四.公開(kāi)密鑰的認(rèn)證環(huán)節(jié)

? ? ? ? 雖然有了公開(kāi)密鑰的加密方式，但還是存在一些問(wèn)題，那就是無(wú)法證明公開(kāi)密鑰本身就是貨真價(jià)實(shí)的公開(kāi)密鑰，比如，正準(zhǔn)備和某臺(tái)服務(wù)器建立公開(kāi)密鑰加密方式下的通信時(shí)，怎樣證明收到的公開(kāi)密鑰就是原本預(yù)想的那臺(tái)服務(wù)器發(fā)行的公開(kāi)密鑰呢？或許在公開(kāi)密鑰傳輸?shù)倪^(guò)程中，真正的公開(kāi)密鑰就已經(jīng)被攻擊者替換了。

? ? ? ? 為了解決上述出現(xiàn)的問(wèn)題，可以使用由數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)和其相關(guān)機(jī)關(guān)頒發(fā)的公開(kāi)密鑰證書(shū)。

? ? ? ? 數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)處于客戶端與服務(wù)器雙方都可信賴的第三方機(jī)構(gòu)的立場(chǎng)上。服務(wù)器會(huì)將這份由數(shù)字證書(shū)從認(rèn)證機(jī)構(gòu)頒發(fā)的公鑰證書(shū)發(fā)送給客戶端，用來(lái)進(jìn)行公開(kāi)密鑰加密方式通信，公鑰證書(shū)也可以叫做數(shù)字證書(shū)或者直接稱為證書(shū)。

? ? ? ? 接收到證書(shū)的客戶端可以使用數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)的公開(kāi)密鑰，對(duì)那張證書(shū)上的數(shù)字簽名進(jìn)行驗(yàn)證，一旦驗(yàn)證通過(guò)，客戶端就可以明確兩件事：一.認(rèn)證服務(wù)器的公開(kāi)密鑰是真實(shí)有效的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)。二.服務(wù)器的公開(kāi)密鑰是值得信賴的.

五.用于確認(rèn)客戶端的客戶端證書(shū)

? ? ? ?HTTPS中還可以使用客戶端證書(shū)，用客戶端證書(shū)來(lái)進(jìn)行客戶端認(rèn)證，用以證明服務(wù)器正在通信的對(duì)方始終是預(yù)料之內(nèi)的客戶端。但是客戶端證書(shū)存在幾個(gè)問(wèn)題，其中的一個(gè)就是證書(shū)的獲取和發(fā)布。

? ? ? ?如果想要獲取證書(shū)，用戶需要自行安裝客戶端證書(shū)，但是客戶端證書(shū)是需要付費(fèi)購(gòu)買(mǎi)的，且每張證書(shū)對(duì)應(yīng)到每位用戶也就意味著?需支付和用戶數(shù)對(duì)等的費(fèi)用，此外，安裝客戶端證書(shū)本身也充滿了挑戰(zhàn)。

? ? ? ?客戶端證書(shū)存在的另一個(gè)問(wèn)題點(diǎn)是，客戶端證書(shū)畢竟只是用來(lái)證明客戶端的實(shí)際存在，而不能用來(lái)證明用戶本人的真實(shí)性，也就是說(shuō)，只要是獲得了安裝有客戶端證書(shū)的計(jì)算機(jī)的使用權(quán)限，也就意味著同時(shí)擁有了客戶端證書(shū)的使用權(quán)限。

六.為什么不一直使用HTTPS

? ? ? ?既然HTTPS那么安全可靠，為什么所有的Web網(wǎng)站不一直使用HTTPS?

? ? ? ?其中一個(gè)原因是，與純文本通信相比，加密通信會(huì)消耗更多的CPU以及內(nèi)存資源。如果每次通信都加密的話，會(huì)消耗相當(dāng)多的資源。所有，如果是非敏感信息則使用HTTP通信，只有包含個(gè)人信息等敏感數(shù)據(jù)時(shí)，才利用HTTPS加密通信。特別是每當(dāng)那些訪問(wèn)量較多的Web網(wǎng)站在進(jìn)行加密處理時(shí)，它們所承受的負(fù)載時(shí)比較龐大的，在進(jìn)行加密處理時(shí)，也并非對(duì)所有的信息都進(jìn)行加密處理，而是僅僅在那些信息需要加密時(shí)，才加以處理，從而節(jié)約資源。

? ? ? ?另外一個(gè)原因是，如果想要進(jìn)行HTTPS通信，證書(shū)是必不可少的，而使用的證書(shū)必須向證書(shū)認(rèn)證機(jī)構(gòu)購(gòu)買(mǎi)，所以，對(duì)于一些購(gòu)買(mǎi)證書(shū)并不合算的個(gè)人和網(wǎng)站來(lái)說(shuō)，可能只會(huì)選擇HTTP通信。

? ? ?

? ? ? ? ??

柚子快報(bào)邀請(qǐng)碼778899分享：確保Web安全的https

http://yzkb.51969.com/

參考鏈接