HTTP(Hypertext Transfer Protocol)
超文本传输协议,是一种用于分布式、协作式和超媒体信息系统的应用层协议。
缺陷:明文传输,没有经过任何加密。而这些明文数据会经过WiFi、路由器、运营商、机房等多个物理设备节点,如果在这中间任意一个节点被监听,传输的内容就会完全暴露,这一攻击手法叫做MITM(Man In The Middle)中间人攻击。
HTTPS(HyperText Transfer Protocol Secure)超文本传输安全协议,数据通信仍然是HTTP,但利用SSL/TLS加密数据包。SSL:(Secure Sockets Layer)安全套接层,TLS(Transport Layer Security)传输层安全协议。
流程:
- 用户在浏览器端发起HTTPS请求,默认使用服务端的443商品连接
- HTTPS需要使用一套CA数字证书,公钥是公开的,而私钥是保留在服务器端不公开
- 服务端收到请求会将配置好的包含公钥的证书给客户端
- 客户端收到证书会校验其合法性。如果通过生成一个用户对称加密的随机Key,用证书的公钥加密传给服务端
- 服务端收到对称加密的随机Key,用配对的私钥解密。
- 服务端和客户端都使用该随机Key进行对称加解密。
HTTPS 解决的是HTTP明文传输时信息被篡改和监听的问题。
- 为了兼顾性能和安全性,使用了非对称加密+对称加密的方案。
- 为了保证公钥传输中不被篡改,又使用了非对称加密的数字签名功能,借助CA机构和系统根证书的机制保证了HTTPS证书的公信力。
学习资料:
https://juejin.im/post/5e95ed89518825739208ec79#heading-4
网友评论