HTTPS,全稱:超文本傳輸安全協(xié)議(英文:Hypertext Transfer Protocol Secure),是由HTTP加上TLS/SSL協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,主要通過數(shù)字證書、加密算法、非對稱密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密,實現(xiàn)互聯(lián)網(wǎng)傳輸安全保護。HTTPS默認使用443端口作為通信的已知端口號。
在HTTPS出現(xiàn)之前,HTTP是在基本的TCP/IP 協(xié)議棧上發(fā)送信息。1994年底,網(wǎng)景公司(Netscape Communication)在此基礎(chǔ)上創(chuàng)建了一個額外的加密傳輸層:SSL。該傳輸層的1.0版本沒有在公司以外發(fā)布過,但之后的SSL 2.0及其后繼者SSL 3.0允許通過加密來保證服務(wù)器和客戶端之間交換消息的真實性,來創(chuàng)建電子商務(wù)網(wǎng)站。在SSL逐漸演變到TLS時,最新的HTTPS也由在2000年五月公布的RFC 2818正式確定下來。
HTTPS對比HTTP在安全方面取得了極大的增強。HTTPS的改進點在于創(chuàng)造性的使用了非對稱加密算法,在不安全的網(wǎng)路上,安全的傳輸了用來進行對稱加密的密鑰,綜合利用了非對稱加密的安全性和對稱加密的快速性。
HTTPS被廣泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面。HTTP到HTTPS的轉(zhuǎn)向可以幫助企業(yè)網(wǎng)提升用戶訪問安全水平,特別是對于有敏感信息保存和提供金融交易等服務(wù)的企業(yè)更有幫助,但也有缺點和局限性。
歷史沿革
產(chǎn)生背景
HTTP雖然使用極為廣泛,但是卻存在不小的安全缺陷,主要是其數(shù)據(jù)的明文傳送和消息完整性檢測的缺乏,而這兩點恰好是網(wǎng)絡(luò)支付,網(wǎng)絡(luò)交易等應(yīng)用中安全方面最需要關(guān)注的。
攻擊者針對HTTP最常用的攻擊手法就是網(wǎng)絡(luò)嗅探,攻擊者試圖從傳輸過程當中分析出敏感的數(shù)據(jù),例如管理員對Web程序后臺的登錄過程等等,從而獲取網(wǎng)站管理權(quán)限,進而滲透到整個服務(wù)器的權(quán)限。即使無法獲取到后臺登錄信息,攻擊者也可以從網(wǎng)絡(luò)中獲取普通用戶的隱秘信息,包括手機號碼,身份證號碼,信用卡號等重要資料,導(dǎo)致嚴重的安全事故。進行網(wǎng)絡(luò)嗅探攻擊非常簡單,對攻擊者的要求很低。使用網(wǎng)絡(luò)發(fā)布的任意一款抓包工具,一個新手就有可能獲取到大型網(wǎng)站的用戶信息。另外,HTTP在傳輸客戶端請求和服務(wù)端響應(yīng)時,唯一的數(shù)據(jù)完整性檢驗就是在報文頭部包含了本次傳輸數(shù)據(jù)的長度,而對內(nèi)容是否被篡改不作確認。因此攻擊者可以輕易的發(fā)動中間人攻擊,修改客戶端和服務(wù)端傳輸?shù)臄?shù)據(jù),甚至在傳輸數(shù)據(jù)中插入惡意代碼,導(dǎo)致客戶端被引導(dǎo)至惡意網(wǎng)站被植入木馬。
產(chǎn)生和發(fā)展
HTTP在基本的TCP/IP協(xié)議棧上發(fā)送信息,1994年底,網(wǎng)景公司(Netscape Communication)在此基礎(chǔ)上創(chuàng)建了一個額外的加密傳輸層:SSL。HTTPS的發(fā)展經(jīng)歷了SSL 2.0、SSL 3.0、TLS 1.0到TLS 1.3的演進。SSL 2.0 及其后繼者 SSL 3.0 允許通過加密來保證服務(wù)器和客戶端之間交換消息的真實性,來創(chuàng)建電子商務(wù)網(wǎng)站。在SSL逐漸演變到TLS時,HTTPS也由在2000年5月公布的RFC 2818正式確定下來。
HTTPS優(yōu)先考慮HTTP中的數(shù)據(jù)安全問題。現(xiàn)代系統(tǒng)使用包含SSL/TLS的HTTP/2作為HTTPS。隨著HTTP/3日趨成熟,瀏覽器和服務(wù)器技術(shù)最終也會將其集成到HTTPS下。
協(xié)議原理和區(qū)別
HTTP原理
HTTPS原理
HTTPS主要由兩部分組成:HTTP+SSL/TLS,也就是在HTTP上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸在HTTP中通常為明文傳輸,若通過TLS加密則屬于HTTPS(HTTP over TLS)的范疇,此時傳輸?shù)臄?shù)據(jù)是加密后的數(shù)據(jù)。
HTTPS和HTTP對比
大多數(shù)情況下,HTTP和HTTPS是相同的,因為都是采用同一個基礎(chǔ)的協(xié)議,作為HTTP或HTTPS客戶端——瀏覽器,設(shè)立一個連接到Web服務(wù)器指定的端口。當服務(wù)器接收到請求,它會返回一個狀態(tài)碼以及消息,這個回應(yīng)可能是請求信息、或者指示某個錯誤發(fā)送的錯誤信息。系統(tǒng)使用統(tǒng)一資源定位器URI模式,因此資源可以被唯一指定。
協(xié)議的改進
HTTPS協(xié)議是由 HTTP 加上 TLS/SSL 協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,主要通過數(shù)字證書、加密算法、非對稱密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密,實現(xiàn)互聯(lián)網(wǎng)傳輸安全保護。設(shè)計目標主要有三個:數(shù)據(jù)保密性、數(shù)據(jù)完整性、身份校驗安全性。
雙向的身份認證
客戶端和服務(wù)端在傳輸數(shù)據(jù)之前,會通過基于X.509證書對雙方進行身份認證。具體過程如下:
數(shù)據(jù)傳輸?shù)臋C密性
客戶端和服務(wù)端在開始傳輸數(shù)據(jù)之前,會協(xié)商傳輸過程需要使用的加密算法。客戶端發(fā)送協(xié)商請求給服務(wù)端,其中包含自己支持的非對稱加密的密鑰交換算法(一般是RSA),數(shù)據(jù)簽名摘要算法(一般是SHA或者MD5) ,加密傳輸數(shù)據(jù)的對稱加密算法(一般是DES),以及加密密鑰的長度。服務(wù)端接收到消息之后,選中安全性最高的算法,并將選中的算法發(fā)送給客戶端,完成協(xié)商。客戶端生成隨機的字符串,通過協(xié)商好的非對稱加密算法,使用服務(wù)端的公鑰對該字符串進行加密,發(fā)送給服務(wù)端。服務(wù)端接收到之后,使用自己的私鑰解密得到該字符串。在隨后的數(shù)據(jù)傳輸當中,使用這個字符串作為密鑰進行對稱加密。
數(shù)據(jù)的完整性檢驗
SSL使用一種很健壯的信息驗證碼, 例如MD5,或者SHA-1算法來對數(shù)據(jù)進行簽名,驗證碼被放在數(shù)據(jù)包的后部, 并且和數(shù)據(jù)一塊被加密,這樣在數(shù)據(jù)被篡改時會由于HASH值的改變而被發(fā)現(xiàn)。
防止重放攻擊
SSL使用序列號來保護通訊方免受報文重放攻擊。這個序列號被加密后作為數(shù)據(jù)包的負載。在整個SSL握手中,都有一個唯一的隨機數(shù)來標記SSL握手。這樣防止了攻擊者嗅探整個登錄過程,獲取到加密的登錄數(shù)據(jù)之后,不對數(shù)據(jù)進行解密, 而直接重傳登錄數(shù)據(jù)包的攻擊手法。
綜合以上,鑒于電子商務(wù)等安全上的需求,HTTPS對比HTTP在安全方面取得了極大的增強。總結(jié)來說,HTTPS的改進點在于創(chuàng)造性的使用了非對稱加密算法,在不安全的網(wǎng)路上,安全的傳輸了用來進行對稱加密的密鑰,綜合利用了非對稱加密的安全性和對稱加密的快速性。
協(xié)議優(yōu)勢
安全性
HTTP消息采用純文本形式,這意味著未經(jīng)授權(quán)的各方可以輕松通過互聯(lián)網(wǎng)對其進行訪問和讀取。相比之下,HTTPS是以SSL+HTTP構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,要比HTTP安全,可防止數(shù)據(jù)在傳輸過程中被竊取、改變,確保數(shù)據(jù)的完整性。使用HTTPS協(xié)議可認證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;當用戶提交敏感數(shù)據(jù)時,他們可以確保沒有第三方可以通過網(wǎng)絡(luò)攔截這些數(shù)據(jù)。選擇HTTPS來保護潛在的敏感信息,如信用卡詳細信息或客戶的個人信息。HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
權(quán)威性
由于HTTP不太可信,搜索引擎對HTTP網(wǎng)站內(nèi)容的排名通常低于HTTPS網(wǎng)頁。相較于HTTP網(wǎng)站,客戶也更喜歡HTTPS網(wǎng)站。瀏覽器通過在瀏覽器的地址欄中網(wǎng)站的URL旁邊放置掛鎖圖標,使用戶可以看見HTTPS連接。由于這些額外的安全性和信任因素,用戶更喜歡HTTPS網(wǎng)站和應(yīng)用程序。
性能和分析
HTTPS Web應(yīng)用程序的加載速度比HTTP應(yīng)用程序更快。同樣,HTTPS也能更好地跟蹤推薦鏈接。推薦流量是您的網(wǎng)站來自廣告或社交媒體反向鏈接等第三方來源的流量。如果您希望分析軟件準確識別您的可靠流量來源,則必須啟用 HTTPS。
缺點和局限
技術(shù)方面
成本方面
應(yīng)用實踐
銀行對外提供的互聯(lián)網(wǎng)金融服務(wù)中,互聯(lián)網(wǎng)門戶類網(wǎng)站和圖片網(wǎng)站主要通過HTTP對外服務(wù)。其中門戶網(wǎng)站為用戶提供金融咨詢和優(yōu)惠信息等服務(wù),還提供銀行App客戶端、U盾驅(qū)動等程序下載服務(wù)。為提升用戶服務(wù)體驗,此類HTTP網(wǎng)站還部署了內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network,CDN),通過CDN將用戶需要訪問的信息放到離用戶所在物理地區(qū)最近內(nèi)容服務(wù)站點,可以大幅提升互聯(lián)網(wǎng)對外服務(wù)的獲取速度,提供最佳訪問體驗。上述CDN通常為基于HTTP的互聯(lián)網(wǎng)應(yīng)用提供服務(wù),而隨著互聯(lián)網(wǎng)環(huán)境中的劫持、篡改等訪問安全問題的日趨嚴峻,CDN 提供的網(wǎng)絡(luò)分發(fā)方案也需要支持HTTP改造為HTTPS協(xié)議。下面是對HTTP到HTTPS改造應(yīng)用和網(wǎng)絡(luò)的方案介紹。
價值和意義
HTTP到HTTPS的轉(zhuǎn)向可以幫助企業(yè)網(wǎng)提升用戶訪問安全水平,特別是對于有敏感信息保存和提供金融交易等服務(wù)的企業(yè)更有幫助。谷歌、Facebook?和國內(nèi)諸多大型互聯(lián)網(wǎng)公司應(yīng)用已經(jīng)全面支持HTTPS,并且蘋果公司和谷歌兩大公司也在積極推動HTTPS擴大應(yīng)用范圍,對HTTPS協(xié)議在全球網(wǎng)站的部署進度起到加速作用。
參考資料 >
HTTP Semantics RFC 9110.IETF.2024-12-21
HTTP 的發(fā)展.mozilla.org.2024-12-22
RFC 2818 HTTP Over TLS.IETF.2024-12-22
HTTP 與 HTTPS 之間有什么區(qū)別?.AWS.2024-12-24
HTTP 概述.mozilla.org.2024-12-22