图解HTTP读书笔记（七）-蒲公英云

图解HTTP读书笔记（七）

忘是亡心i 2022-07-15 15:22 372阅读 0赞

图解HTTP读书笔记（七）

第七章确保Web安全的HTTPS

HTTP的缺点

HTTP主要有这些不足，如：

通信使用明文（不加密），内容可以会被窃听

不验证通信方的身份，因此有可能遭遇伪装

任何人都可以发起请求，只要服务器接收到请求，就会返回响应。因此不确认通信方，存在隐患。

无法证明报文的完整性，所以有可能已遭篡改

服务器或者客户端2者接收到请求或响应有可能在传输的过程中被篡改。

中间人攻击：请求或响应在传输途中，遭攻击者拦截并篡改内容的攻击成为中间人攻击（Man-in-the-Middle attack,MITM）。

HTTP+加密+认证+完整性保护=HTTPS

HTTPS：在HTTP协议的基础上，加上加密及认证机制。HTTPS并非是一种新协议，只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替。

通常HTTP直接和TCP通信，现在使用HTTPS，中间隔了一层SSL。采用了SSL后，HTTP就拥有了HTTPS的加密、证书和完整性。

HTTPS的安全通信机制

为了更好的理解HTTPS，我们来观察下HTTPS的通信步骤。

客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件列表（所使用的加密算法及密钥长度等）。
服务器可进行SSL通信时，会以Server Hello报文作为响应，和客户端一样，在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到客户端加密组件内筛选出来的。
之后服务器发送Certificate报文。报文中包含公开密钥证书。
最后服务器发送Server Hello Done报文通知客户端，最初阶段的SSL握手协商部分结束。
SSL第一从握手结束后，客户端以Client Key Exchange报文作为回应，报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公钥进行加密（完整性体现）。
接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器，在此报文之后的通信会采用Pre-master secret密钥加密（加密体现）。
客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。
服务器同样发送Change Cipher Spec报文。
服务器同样发送Finished报文。
服务器和客户端的Finished报文交换完毕后，SSL连接就算建立完成。当然，通信会受到SSL的保护。从此处开始进行应用层协议的通信，即发送HTTP请求。
应用层协议通信，即发送HTTP响应。
最后由客户端断开连接。断开连接时，发送close_notify报文。这步之后再发送TCP FIN报文来关闭与TCP的通信。

下面是对整个流程的图解。图中说明了从仅使用服务器端的公开密钥证书（服务器证书）建立HTTPS通信的整个过程。