HTTP和HTTPS

HTTP的缺点

要不足表现在如下几个方面：

• 通信使用明文（不加密），内容可能会被窃听

• 不验证通信方的身份，因此可能遭遇伪装

• 无法证明报文的完整性，所以有可能已被篡

通信使用明文可能被窃听

http本身不具有加密功能，无法做到对通信整体（使用http协议通信的请求和响应内容）进行加密，即：http报文使用明文（未经加密的报文）方式传送

TCP/IP协议族的通信机制：通信内容在所有通信线路上都可能被窥视

应对措施：对通信进行加密处理防止被窃听

加密对象：

①.通信的加密

http协议没有加密机制，可以通过SSL（Secure Socket Layer:安全套接层）或TLS（Transport Layer Security:安全层传输协议）组合使用，

加密http的通信内容，这就是常说的https（超文本传输安全协议）

②.内容的加密

http协议没有加密机制，对传输的内容本身进行加密，即报文实体主体部分；客户端对请求报文加密处理后传输，但前提是客户端和服务器都具有加密和解密机制，

主要应用于WEB服务中（但仍然有被篡改的风险）

不验证通信方身份，可能遭遇伪装

http协议中请求和响应不会对通信方进行确认，即存在“服务器是否是发送请求中URI真正指定的主机。返回的响应是否真的返回到实际提出请求的客户端”等类似问题

任何人都可以发起请求，服务器只要接收到请求，不管对方是谁都会返回一个响应（仅限于发送端IP和端口号没有被WEB服务器设定限制访问的前提下）

http协议的隐患有以下几点：

①.无法确定请求发送至目标的web服务器是否是按真实意图返回响应的服务器；有可能是已伪装的服务器

②.无法确定响应返回到的客户端是否是按真实意图接受响应的那个客户端；有可能是已伪装的客户端

③.无法确定正在通信的对方是否具备访问权限；因为某些web服务器保存有重要信息，只发给特定用户通信的权限

④.无法判断请求来自何方

⑤.即使时无意义的请求也会接收，无法阻止海量请求下的D0S攻击（Denial of Service:拒绝服务攻击）

无法证明报文完整性，可能已遭篡改

完整性：指信息的准确度，若无法证明其完整性，意味着无法判断信息是否正确

http协议无法证明通信的报文完整性，因此，请求或者响应在传输过程中，如果遭到篡改，是无法知道的；类似这种请求或响应传输中被攻击者拦截篡改的攻击称为中间人攻击（Man-in-the-Middle attack,MITM）

防止篡改：常用的方法有MD5和SHA-1等散列值校验的方法，以及来确认文件的数字签名方法

HTTP+加密+认证+完整性保护=HTTPS

通常把添加了加密和身份认证机制的http协议称为https（HTTP Secure）；证书可证明服务器或者客户端的身份， https相当于身披SSL外壳的http 。
https并非应用层的一种新协议，而是在http通信接口部分用SSL（Secure Socket Layer：安全套接字层）和TLS（Transport Layer Security：安全层传输协议）协议代替
通常，http和TCP直接通信，当使用SSL时，先由http和SSL通信，再由SSL和TCP通信

image.png

SSL是独立于http的协议，其他应用层的如SMTP何Telnet等协议都可以配合SSL进行使用

SSL协议

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯)提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法)、交换加密密钥等。

image.png

第一步，客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器。
第二步，服务器初步响应：服务器根据自己支持的加密规则，从客户端发来的请求中选出一组加密算法与HASH算法，生成随机数，并将自己的身份信息以证书（CA）的形式发回给浏览器。CA证书里面包含了服务器地址，加密公钥，以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数（Random_S）。
第三步，客户端接到服务器的初步响应后做四件事情：
（1）证书校验： 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。
（2）生成密码：浏览器会生成一串随机数的密码（Pre_master），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。
（3）计算协商密钥：
此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master，计算得到协商密钥enc_key。
（4）生成握手信息：使用约定好的HASH计算握手消息，并使用协商密钥enc_key及约定好的算法对消息进行加密。
第四步，客户端将第三步产生的数据发给服务器：
这里要发送的数据有三条：
（1）用公钥加密过的服务器随机数密码enc_pre_master
（2）客户端发给服务器的通知，”以后我们都要用约定好的算法和协商密钥进行通信的哦”。
（3）客户端加密生成的握手信息。
第五步，服务器接收客户端发来的数据要做以下四件事情：（1）私钥解密：使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master。
（2）计算协商密钥：此时服务器已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与Pre-master，计算得到协商密钥enc_key。
（3）解密握手消息：使用协商密钥enc_key解密客户端发来的握手消息，并验证HASH是否与客户端发来的一致。
（4）生成握手消息使用协商密钥enc_key及约定好的算法加密一段握手消息，发送给客户端。
第六步，服务器将第五步产生的数据发给客户端：
这里要发的数据有两条：
（1）服务器发给客户端的通知，”听你的，以后我们就用约定好的算法和协商密钥进行通信哦“。
（2）服务器加密生成的握手信息。
第七步，客户端拿到握手信息解密，握手结束。
客户端解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束
第八步，正常加密通信
握手成功之后，所有的通信数据将由之前协商密钥enc_key及约定好的算法进行加密解密。

HTTPS使用SSL（Secure Socket Layer：安全套接字层）和TLS（Transport Layer Security：安全层传输协议）这两种协议

使用SSL时，处理速度会变慢

①.通信慢：通信时候大量消耗CPU及内存资源，相比较HTTP而已，网络负载可能变慢2-100倍（通信量增加）

②.加密处理：在服务器和客户端都要进行加密和解密，更多的消耗了服务器和客户端硬件资源，导致负载增强