浅谈网络安全之HTTPS

作者: pphdsny | 来源:发表于2019-03-27 18:27 被阅读6次

前言

说到Https,对于前端工程师(Android、iOS、H5)来讲都是一个很模糊的概念。

之前,公司为了安全考虑,需要将全网从http迁移到https,那时候前端工程师也就只做了一件事:基础域名从http://xx.xx.com变成了https://xx.xx.com,非常简单的就完成了迁移,至于https到底是不是更安全了,大部分人是不清楚的。

于是,我结合了之前的一些经验和近期的总结,对大家做了一次分享,包含以下几部分:

  • 网络安全问题

  • HTTP为什么不安全

  • HTTPS为什么安全

  • SSL/TLS

  • 实践分析

内容不是很深,但绝对能让你了解HTTPS为什么安全!

网络安全问题

对于你来说,肯定碰到过浏览的网页中突然多了块广告区域,如下图所示:

领奖图

498==iPhone 6s看着多诱人啊,不明真相的用户还以为是“官方”弄的活动,一旦点击了发生了金钱问题,就会被举报和投诉我们了。作为开发此页面的程序员来说,又得背锅lalala~

哈哈

排查以后,你发现自己的页面中被注入了不是自己写的广告代码。究其原因就是网页使用的是http协议,在网络中是明文传输的,在传输过程中会受到各级网络运营商的劫持,又由于是明文传输,很容易就在请求的报文中插入他们的广告代码。如果被非法分子劫持,所有的数据都会是透明的,如果这是一次支付请求呢,细想一下是不是很吓人~

A:这么恐怖😱,有什么办法么?

B:将网络协议从http升级为https即可!

A:为什么呢?

B:看下面的分析,你就会明白了。

HTTP为什么不安全

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,位于网络分层的应用层。

HTTP为什么不安全,还得从网络分层开始说,网络分层图(5层)如下:

网络分层

从上图来看,原始数据会经过应用层->传输层->网络层->连接层->物理层传输,到达目的地后反向解析物理层->连接层->网络层->传输层->应用层拿到原始数据进行处理。

在实际应用中,我们的网络请求必须通过运营商和ISP到达公网,这就给运营商和ISP机会可以拿到原始数据,再加上HTTP协议的明文传输,使其很方便就能将广告代码数据插入到原始数据中,再返回给用户看到了上面的广告。

A:原来是这样子啊,那是不是对数据加密就可以了?

B:聪明,HTTPS就是干加密这事的!

HTTPS为什么安全

HTTPS协议(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议),基于SSL/TLS认证的HTTP请求,简单来说就是安全的HTTP请求。

我们先来看HTTP基于TCP建立连接,三次握手建立连接->传输数据->四次挥手断开连接,如下图所示:

Http建立连接过程

HTTPS是基于HTTP的,所以建立连接的过程大致相同,额外增加的是加密密钥的获取过程,如下图所示:

HTTPS获取密钥

从上图可以简单看出,最终加密是通过对称加密完成的,但是对称加密的密钥动态生成的,通过非对称加密让客户端和服务端知晓的。

https相对于http来说都做了哪些安全保障:

  • CA证书认证,确保访问服务器和客户端的可靠性

  • 数据加密传输

A:说了这么多,里面最核心的SSL/TLS是什么?

B:简单来说SSL/TLS就是加密协议,详见下面的分析。

SSL/TLS

简介

  • 传输层安全性协议(英语:Transport Layer Security,缩写作 TLS),及其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

  • 网景公司(Netscape)在1994年推出首版网页浏览器,网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。

  • IETF将SSL进行标准化,1999年公布第一版TLS标准文件。随后又公布RFC 5246 (2008年8月)与 RFC 6176 (2011年3月)。

  • SSL/TLS只是一个协议,不仅仅可以用在HTTP上,还可以跟很多常用的应用层协议(比如:FTP、SMTP、POP、Telnet、DNS等)搭配,来强化这些应用层协议的安全性。

  • 目前主流使用的是TLS1.2,最新版本是TLS1.3(2018年8月发表)

更多关于SSL/TLS的发展历程,可参考SSL/TLS发展历程

SSL/TLS在网络分层的位置

SSL/TLS所属位置

常用的加密算法

  • 非对称加密算法:RSA,DSA/DSS

  • 对称加密算法:AES,RC4,3DES

  • HASH算法:MD5,SHA1,SHA256

TLS/SSL加密过程

TLS/SSL加密过程

TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,TLS/SSL中使用了非对称加密,对称加密以及HASH算法,大致流程如下:

  • SSL客户端(也是TCP的客户端)在TCP链接建立之后

  • 客户端发出一个ClientHello来发起握手,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息

  • SSL的服务器端会回应一个ServerHello,这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)

  • Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了

整个加密过程不是一种加密方式完成的,而是多种加密方式组合而成的,简称“密钥套件”,例如TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

协议是TLS。从ECDHE开始,我们可以看到,在握手过程中,密钥将通过短暂的椭圆曲线Diffie Hellman(ECDHE)进行交换。身份验证算法是RSA。AES_128_GCM是一种批量加密算法。最后,SHA-256是散列算法。

上面的流程说明只是简单的阐述了下秘钥的交换过程,至于各种加密算法的使用和选择不在此讨论中。

实践分析

说了这么多理论,下面用一些内容来印证下(下面所有的截图来自于Charles)。

Charles截图

思考

浅谈HTTPS就结束了,有一些问题,如果大家感兴趣可以一起交流下:

  • 为什么迁移到HTTPS的时候,除了基础域名替换外,不需要做额外的工作?

  • socket是什么,属于网络中的哪一层?

  • HTTPS一定比HTTP慢么?

  • HTTPS就一定安全么?

后记

其实想真正的了解HTTPS,需要深入理解TLS中使用的那些算法,后续会继续研究的,加个todos!

相关文章

网友评论

    本文标题:浅谈网络安全之HTTPS

    本文链接:https://www.haomeiwen.com/subject/xestbqtx.html