HTTP协议（二）之确保web安全的HTTPS

一、概述

https并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议替代。

通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信了。

简而言之，所谓HTTPS其实就是身披SSL协议这层外壳的HTTP。

HTTPS采用对称加密和非对称加密并用的混合加密机制。

 

二、验证公开密钥正确性的证书：

1、服务器把自己的公开密钥登录至数字证书认证机构

2、数字证书认证机构用自己的私有密钥向服务器的公开密码部署数字签名并颁发公钥证书

3、客户端拿到服务器的公钥证书后，使用数字证书认证机构的公开密钥，向数字证书认证机构验证公钥证书上的数字签名，以确认服务器的公开必要的真实性

4、使用服务器的公开密钥对报文加密后发送

5、服务器用私有密钥对报文解密

 

三、证书：

证书的作用是用来证明作为通信一方的服务器是否规范，另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书（Extended Validation SSL Certificate）。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的，且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

使用OpenSSL这套开源程序，每个人都可以构建一套属于自己的认证机构，从而自己给机子颁发服务器证书。但该服务器证书在互联网上不可作为证书使用，似乎也没什么用。

独立构建的认证机构叫做自认证机构，由自认证机构颁发的“无用”证书称为自签名证书。浏览器访问该服务器时，会显示“无法确认连接安全”或“该网站的安全证书存在问题”等警告。

 

四、HTTPS的安全通信机制：

1、客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。

2、服务器可进行 SSL 通信时，会以 Server Hello 报文作为应答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件中筛选出来的。

3、之后服务器发送 Certificate 报文。报文中包含公开密钥证书。

4、最后服务器发送 Server Hello Done报文通知客户端，最初阶段的SSL握手协商部分结束。

5、SSL第一次握手结束之后，客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串（相当于是对称加密的密钥）。该报文已用步骤3中的公开密钥进行加密（已确认证书的有效性，并取出服务器的公开密钥）。

6、接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。

7、客户端发送 Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。

8、服务器同样发送 Change Cipher Spec 报文。

9、服务器同样发送 Finished报文。

10、服务器和客户端的 Finished报文交换完毕之后，SSL连接就算建立完成。当然，通信会受到 SSL的保护。从此处开始进行应用层协议的通信，即发送HTTP请求。

11、应用层协议通信，即发送HTTP 响应。

12、最后由客户端断开连接。断开连接时，发送 close_notify报文。之后再发送 TCP FIN报文来关闭与 TCP的通信。

 

五、HTTPS的缺点：

HTTPS的一些缺点，就是当使用SSL时，他的处理速度会变慢（一种是通信慢，还有一种是由于大量消耗CPU及内存等资源，导致处理速度变慢）。

和使用HTTP相比，网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求·响应以外，还必须进行SSL通信，因此整体上处理通信量不可避免增加。

还有SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上来看，比HTTP会更多的消耗服务器和客户端的硬件资源，导致负载增强。一般使用SSL加速器这种（专用服务器）硬件来改善该问题。该硬件为SSL通信专用硬件，相对于软件来讲，能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效，以分担负载。