HTTP系列：HTTP与HTTPS区别

原创

NIO4444 2022-03-09 11:25:38 博主文章分类：HTTP ©著作权

©著作权归作者所有：来自51CTO博客作者NIO4444的原创作品，请联系作者获取转载授权，否则将追究法律责任

HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。HTTPS为了保证这些隐私数据能加密传输。
HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL（在 tcp 协议层之上增加了一层 SSL）。
也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

SSL协议的握手过程

HTTP系列：HTTP与HTTPS区别_服务端_02

公钥和私钥是成对的，它们互相解密：
公钥加密，私钥解密。私钥数字签名，公钥验证。
此时客户端生成随机数通过公钥加密传给服务器，服务器通过私钥解密得到随机数，至此对称加密的秘钥就协商好了。由此可见https通过非对称加密实现了对称加密算法的协商。而且每次https请求都会生成这样的随机数。

TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的具体描述如下：

1. 客户端发起请求(Client Hello 包)

a) 三次握手，建立 TCP 连接
b) 支持的协议版本(TLS/SSL)
c) 客户端生成的随机数 client.random，后续用于生成“对话密钥”
d) 客户端支持的加密算法
e) sessionid，用于保持同一个会话（如果客户端与服务器费尽周折建立了一个 HTTPS 链接，刚建完就断了，也太可惜）

2. 服务端收到请求，然后响应（Server Hello）

a) 确认加密通道协议版本
b) 服务端生成的随机数 server.random，后续用于生成“对话密钥”
c) 确认使用的加密算法（用于后续的握手消息进行签名防止篡改）
d) 服务器证书（CA 机构颁发给服务端的证书）

3. 客户端收到证书进行验证

a) 验证证书是否是上级 CA 签发的, 在验证证书的时候，浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证，只有路径中所有的证书都是受信的，整个验证的结果才是受信
b) 服务端返回的证书中会包含证书的有效期，可以通过失效日期来验证证书是否过期
c) 验证证书是否被吊销了
d) 前面我们知道 CA 机构在签发证书的时候，都会使用自己的私钥对证书进行签名证书里的签名算法字段 sha256RSA 表示 CA 机构使用 sha256对证书进行摘要，然后使用 RSA 算法对摘要进行私钥签名，而我们也知道 RSA 算法中，使用私钥签名之后，只有公钥才能进行验签。
e) 浏览器使用内置在操作系统上的CA机构的公钥对服务器的证书进行验签。确定这个证书是不是由正规的机构颁发。验签之后得知 CA 机构使用 sha256 进行证书摘要，然后客户端再使用sha256 对证书内容进行一次摘要，如果得到的值和服务端返回的证书验签之后的摘要相同，表示证书没有被修改过
f) 验证通过后，就会显示绿色的安全字样
g) 客户端生成随机数，验证通过之后，客户端会生成一个随机数pre-master secret，客户端根据之前的： Client.random + sever.random + pre-master 生成对称密钥然后使用证书中的公钥进行加密，同时利用前面协商好的加密算法，将握手消息取HASH 值，然后用“随机数加密“握手消息+握手消息 HASH 值（签名）”然后传递给服务器端；(在这里之所以要取握手消息的 HASH值，主要是把握手消息做一个签名，用于验证握手消息在传输过程中没有被篡改过。)

4. 服务端接收随机数

a) 服务端收到客户端的加密数据以后，用自己的私钥对密文进行解密。然后得到 client.random/server.random/pre-master secret. , 再用随机数密码解密握手消息与 HASH 值，并与传过来的HASH 值做对比确认是否一致。
b) 然后用随机密码加密一段握手消息(握手消息+握手消息的HASH 值 )给客户端

5. 客户端接收消息

a) 客户端用随机数解密并计算握手消息的 HASH，如果与服务端发来的 HASH 一致，此时握手过程结束，
b) 之后所有的通信数据将由之前交互过程中生成的 pre master secret / client.random/server.random 通过算法得出 sessionKey，作为后续交互过程中的对称密钥

HTTPS 证书的申请过程

1. 服务器上生成 CSR 文件（证书申请文件，内容包括证书公钥、使用的 Hash 签名算法、申
请的域名、公司名称、职位等信息）
2. 把 CSR 文件和其他可能的证件上传到 CA 认证机构，CA 机构收到证书申请之后，使用申请
中的 Hash 算法，对部分内容进行摘要，然后使用 CA 机构自己的私钥对这段摘要信息进行签名（相当于证书的唯一编号）
3. 然后 CA 机构把签名过的证书通过邮件形式发送到申请者手中。
4. 申请者收到证书之后部署到自己的 web 服务器中

HTTP系列：HTTP与HTTPS区别_服务端_03