在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。
HTTP的缺点

  • 通信使用明文(不加密),内容可能会被窃听
    1. HTTP本身不具备加密的功能,所以也无法做到对通信整体(使用HTTP协议通信的请求响应内容)进行加密。
    2. TCP/IP是可能被窃听的网络
    3. 只需要收集在互联网上流动的数据包(帧),对于收集来的数据包的解析工作,交给抓包(Packet Capture)或者嗅探器(Sniffer)工具
    4. 加密处理防止被窃听。通信的加密:HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer, 安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容,与SSL组合使用的HTTP被称为HTTPS或HTTP over SSL。内容的加密:把HTTP报文里所含的内容进行加密处理。
    5. 不验证通信方的身份就可能遭遇伪装,也就是“服务器是否就是发送请求中URI真正指定的主机,返回的响应是否真的返回到实际提出请求的客户端”等类似问题。
      • 任何人都可以发起请求
        1. 无法确定请求发送至目标的Web服务器是否是按真实意图返回响应的那台服务器。有可能是已伪装的Web服务器。
        2. 无法确定响应返回到的客户端是否按照真实意图接受响应那个客户端。有可能是已伪装的客户端。
        3. 无法确定正在通信的对方是否具备访问权限。因为某些Web服务器上保存着重要信息,只想发给特定用户通信的权限。
        4. 无法判断请求是来自何方、出自谁手。
        5. 即使是无意义的请求也会照单全收。无法阻止海量请求下的DoS攻击(Denial of Serivice,拒绝服务攻击)
      • 查明对手的证书:虽然使用HTTP协议无法确定通信方,但如果使用SSL则可以。SSL不仅提供加密处理,而且还使用了一种被称为证书的手段,可用于确定对方信息。证书由值得信任的第三方机构办法,用以证明服务器和客户端是实际存在的。另外伪造证书从技术角度来说是异常困难的一件事。所以只要能够确认通信方(服务器或客户端)持有的证书,即可判断通信方的真实意图。
    6. 无法证明报文完整性,可能已遭篡改。
      • 收到的内容可能有误,中间人攻击
      • 如何防止篡改,使用HTTPS,即使使用数字签名也容易被篡改,且客户端无法判断数字签名是否是服务器给的

HTTP+加密+认证+完整性保护=HTTPS

  • Web访问HTTPS的网页使用https://
  • HTTPS是身披SSL外壳的HTTP:HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议替代而已。通常HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信。采用SSL后,HTTP就拥有了HTTPS的加密、证书和完整性保护这些功能。SSL是独立于HTTP的协议,所以不光是HTTP协议,其他运行在应用层的SMTP和Telnet等协议均可配合SSL协议使用。可以说SSL是当今世界上应用最为广泛的网络安全技术。
  • 相互交换密钥的公开密钥加密技术:SSL采用一种叫做公开密钥加密(Public-key cryptography)的加密处理方式。近代加密方法中加密算法是公开的,而密钥却是保密的。通过这种方式得以保持加密方法的安全性。如果密钥被攻击者获取,那加密就失去了意义。
    • 共享密钥加密的困境:加密和解密通用一个密钥的方式被称为共享密钥加密(Common key crypto system),也被叫做对称密钥加密。以共享密钥方式加密必须将密钥也发给对方。可究竟怎样才能安全地转交?在互联网上转发密钥时,如果通信被监听那么密钥就可会落入攻击者之手,同时也就失去了加密的意义。另外还得设法安全地保管接受到的密钥。
    • 使用两把密钥的公开密钥加密(非对称加密):公开密钥加密方式很好地解决了共享密钥加密的困难。公开密钥加密使用一对非对称的密钥。一把叫做私有密钥(private key),另一把叫做公开密钥(public key)。顾名思义,私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,任何人都可以获得。使用公开密钥加密方式,发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,再使用自己的私有密钥进行解密。利用这种方式,不需要发送用来解密的私有密钥,也不必担心密钥被攻击者窃听而盗走。另外想要根据密文和公开密钥,恢复到信息原文时异常困难的,因为解密过程就是对离散对数进行求值,这并非轻而易举就能办到。退一步讲,如果能对一个非常大的整数做到快速地因式分解,那么密码破解还是存在希望的。但就目前的技术来看不太现实。
    • HTTPS采用混合加密机制:HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换,那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥加密与共享密钥加密相比,其处理速度要慢。所以应充分利用两者各自的优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式。
  • 证明公开密钥正确性的证书:公开密钥加密方式还是存在一些问题,那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许公开密钥在传输途中,真正的公开密钥就已经被攻击者替换掉了。为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其他相关机关颁发的公开密钥证书。数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信(VeriSign)就是其中一家非常著名的数字证书认证机构。我们来介绍一下数字生疏认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将公开密钥放入公钥证书后绑定在一起。服务器会将这份由数字证书认证机构颁发的证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称之为证书。接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。
    图解证书