网络基础-应用层(HTTP/HTTPS)

个人笔记纪录, 待完善

---

1. HTTP 和 HTTPS

首先注意的是, 无论是HTTP和HTTPS都是基于TCP/IP协议, 他们工作在应用层, 都是需要先进行TCP的三次握手进行链接;

1. HTTP:

• 超文本传输协议, 是一种通讯协议;
• 默认使用80端口;
• 是属于应用层的面相对象协议;
• 明文传输数据(自身不提供加密);
• 构建在 TCP/IP协议之上, 是TCP/IP协议的一个子集;
• 常见方式有GET, POST, HEAD, PUT, DELETE, OPTIONS;

特点:

• 无链接, 有建立链接和释放链接的过程;
• 无状态; 如果没有session或者cookie即使是多次请求服务端也没法确认客户端的身份;

2. HTTPS
简单理解为安全的HTTP; HTTPS = HTTP + TSL(SSL);

• 默认使用443端口;
• 通过 SSL加密不再采用明文传输;
• 免费证书很少, 一般需要到 CA 申请收费证书;
  -TSL为SSL升级版;
• 至此 HTTPS的站点如果仍然使用HTTP方式访问会进行重定向; 例如访问HTTP://www.baidu.com会重定向到HTTPS://www.baidu.com;

HTTPS的优缺点:
可以认证客户端和服务器, 确保数据正确的发送;
数据经过加密, 确保数据在传输过程的安全, 不被窃取, 修改等;

比较耗时, 证书收费, 并非绝对安全,掌握 CA证书机构的算法后仍然可以进行攻击;

3. SSL/TLS:

• SSL : Secure Socket Layer, 安全套结层;
• SSL/TLS也可以用在其他协议上例如FTP->FTPS SMTP->SMTPS;
• SSL/TLS工作在应用层和传输层之间, 为什么不能在传输层进行此操作, 因为传输层要保证数据的完整性等, 在传输层进行此操作比较耗时,不能保证数据段及时性和完整性;
  SSL/TLS 工作在应用层和传输层之间

4 OpenSSL:
OpenSSL是SSL/TLS协议的开源实现, 始于1998年, 支持与 Windows Mac Linux 等系统;
Linue 和 Mac 一般自带OpenSSL,可以通过OpenSSL构建属于自己的一套 CA, 自己给自己办法证书, 这种也成为自签名证书;

常用命令

• 生成私钥: openssl genrsa -out xx.key
• 生产公钥: openssl rsa -in xx.key -pubout -out xx.pem

---

2. HTTPS的链接过程

HTTPS的链接过程分为三个过程;

• 1.TCP的三次握手;
• 2. TLS的链接;
• 3. HTTP的请求和相应;

HTTPS链接过程 (1).png

TLS的链接过程

TLS链接过程.png
TLS的链接过程大致分为10个步骤, 省略去中间的ACK部分;
1. Client Hello:
- TLS的版本号;
- 支持的加密组件列表(Cipher Suit)列表;(加密组件是指所使用的加密算法以及秘钥长度等)
- 一个随机数(Client Random);
2. Server Hello:
- TLS的版本号;
- 选择的加密组件(从接收到的客户端的加密组件列表中选择出来的);
- 一个随机数(Server Random);
3. Certificate :
- 服务器的公钥证书(被CA签名过的);
4. Server Key Exchange:
- 用以实现ECDHE算法的其中一个参数(Server Params);
ECDHE是一种秘钥交换算法;
为了防止伪造, Server Params经过了服务器的私钥签名;
5. Server Hello Done:
- 告知服务端:协商部分结束, 截止到目前服务器和客户端一共通过明文交换了Client Random, Server Random, Server Params;
- 而且客户端已经拿到了服务器的公钥证书, 接下来客户端会验证证书的有效性;
6. Client Key Exchange:
- 用以实现ECDHE算法的另一个参数;
- 截止到现在Server和Client端都已经持有了ECDHE算法所需要的的两个参数, Server Params和ClientParams;
- 客户端/服务器都可以使用Client Params和Server Params计算出新的随机秘钥串:Pre-Master Secret; 然后结合Client Random和Server Random, Pre-Master Secret生成一个主密钥, 主密钥再衍生出其他秘钥, 客户端/服务器发送用的回话秘钥等;
7. Change Cipher Spec:
- 告知服务器之后会使用计算出来的回话秘钥进行加密;
8. Finished:
- 包含连接至今全部报文的整体校验值(摘要), 加密之后发送给服务器;
- 这次握手的是否成功, 要以服务器是否能正确的解密此报文为判定标准;
9. Change Cipher Spec:
10. Finished:
- 截止到现在服务器和客户端都已验证加密解密没问题, 握手正式结束; 下面开始传输加密的HTTP请求和相应;