4.HTTPS与HTTP的区别
HTTP的弊端
1)通过明文(不加密)传输,内容可能会遭到窃听。
2)不验证通信方的身份,因此有可能遭到伪装(拒绝服务型攻击(海量请求下的DOS攻击))。
3)无法验证报文的完整性,所以有可能已遭篡改。(中间人攻击(请求或者响应在传输途中,遭攻击者拦截并篡改内容))
因此:HTTP+加密+认证+完整性保护=HTTPS
HTTPS和HTTP的区别主要如下:
1)HTTPS 不是一种新的协议。原 HTTP 直接建立在 TCP 协议上,直接与 TCP 通信。当前 HTTP
先与 SSL 协议通信,SSL 再与 TCP 进行通信。先建立 SSL 协议的连接,再发送 http 请求。
2)HTTPS通过非对称加解密算法(公开密钥加解密算法)与对称加解密算法(共享密钥加解密算法)的结合使用。防止HTTP请求及响应被窃取的风险;通过数字证书认证机构的颁发证书认证机制,可证实通信方身份,不可能遭遇伪
装;MAC 报文摘要可防止篡改,验证消息的完整性。可简写为 HTTP+加密+认证+完整性保护
=HTTPS
3)HTTPS 也有缺陷,相比 HTTP 协议,HTTPS 协议需要客户端服务端完成加密解密过程处
理,会消耗 CPU 和内存等硬件资源,导致处理时间慢。同时需要购买认证证书,价格昂贵,开
销大
4)HTTP 与 HTTPS 使用的是完全不同的连接方式,用的端口也不一样。HTTP 80 端口,HTTPS
为 443 端口。
5)两者的应用场景不一样。即使 HTTPS 拥有通信更安全的优势,但是认证证书价格昂贵
导致对于购买证书并不合算的服务以及一些个人网站,只会选择 HTTP 通信方式,采用通信内
容加密的方式保证粗略的安全性。即使有能力购买,由于消耗资源多及处理时间慢,只会针对
包含个人信息、银行账号密码等敏感数据时,才利用 HTTPS 加密通信。
加密方法:
- 对称加密:加密解密用的是同样的“钥匙”(公钥)
- 非对称加密:加密解密用的是不同的“钥匙”(公钥+私钥:公钥进行加密,私钥进行解密)
MAC:消息验证码
MAC能识别出篡改和伪装,也就是既可以确认消息的完整性,也可以进行认证。
消息认证码的输入包括任意长度的消息和一个发送者与接受者之间共享的密钥,它可以输出固定长度的数据,这个数据就MAC。
消息认证码是一种与密钥相关联的单向散列函数。
https的通信流程
HTTP+加密+认证+完整性保护 =HTTPS
我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。
HTTPS简介
HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的,且看下图。
1. 客户端发起HTTPS请求
这个没什么好说的,就是用户在浏览器里输入一个https网址,然后连接到server的443端口。,把自身支持的一系列Cipher Suite(密钥算法套件,简称Cipher)发送给服务端
2. 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择,有1年的免费服务)。这套证书其实就是一对公钥和私钥。
3. 传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
4. 客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
5. 传送加密信息
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
6. 服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值,然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
7. 传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原
8. 客户端解密信息
客户端用之前生成的随机值解密服务段传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。
非对称加密算法:RSA,DSA/DSS 在客户端与服务端相互验证的过程中用的是非对称加密
对称加密算法:AES,RC4,3DES 客户端与服务端相互验证通过后,以随机数作为密钥时,就是对称加密
HASH算法:MD5,SHA1,SHA256 在确认握手消息没有被篡改时
4.HTTPS与HTTP的区别相关推荐
- jmeter HTTPS和HTTP的区别
一.HTTPS和HTTP的区别 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息.HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务 ...
- M面试题-HTTPS和HTTP的区别
转载自 : https://www.cnblogs.com/wqhwe/p/5407468.html 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送 ...
- http与https的作用与区别
HTTP 属于超文本传输协议,用来在 Internet 上传送超文本,而 HTTPS 为安全超文本传输协议,在 HTTPS 基础上拥有更强的安全性,简单来说 HTTPS 是 HTTP 的安全版,是使用 ...
- https与http的区别以及https加密原理
https与http的区别以及https加密原理 一.什么是HTTPS 二.为什么要用HTTPS替代HTTP 三.HTTPS 与 HTTP 的区别 四.HTTPS如何解决HTTP上述问题? 1. 对称 ...
- 详解http和https的作用与区别
PS: https就是http和TCP之间有一层SSL层,这一层的实际作用是防止钓鱼和加密.防止钓鱼通过网站的证书,网站必须有CA证书,证书类似于一个解密的签名.另外是加密,加密需要一个密钥交换算法, ...
- http和https协议有什么区别
1.https协议需要到CA (Certificate Authority,证书颁发机构)申请证书,一般免费证书较少,因而需要一定费用.(原来网易官网是http,而网易邮箱是https.) 2.htt ...
- http(S)系列之(三):https单/双向认证区别
前言 没有梗了,挖槽,不是朕的风格,硬来一个:昨晚做梦妻妾成群,年收入超千万了,可惜被儿子一泡尿滋醒了 参考文献 扯一扯HTTPS单向认证.双向认证.抓包原理.反抓包策略 提醒:参考文献里面涉及到单向 ...
- SSL证书之https和http的区别
为何HTTPS加密网站较之HTTP网站更受欢迎?看样子HTTPS已是大势所趋.我们来看一下HTTP与HTTPS的区别. HTTP(Hypertext Transfer Protocol)超文本传输协议 ...
- HTTP系列学习(笔记二):HTTPS与HTTP的区别在哪?
图文详解: 对称加密 :加密与解密的算法一样 非对称加密:加密与解密的算法不同 加密算法: 明文 -> encode 加密 -> 密文 -> decode 解密 -> 明文 摘 ...
最新文章
- 百度发布全功能AI平台!
- Target runtime Apache Tomcat 6.0 is not defined
- [ucgui] 对话框7——按钮触发与模式窗口
- Spark源码阅读03-Spark存储原理之存储分析
- 吴恩达 coursera AI 专项三第一课总结+作业答案
- [网络安全自学篇] 六十四.Windows安全缺陷利用之SMBv3服务远程代码执行(CVE-2020-0796)复现及防御机理
- Redis系列六、redis的五种数据结构和相关指令之Sorted Set
- Redis Sentinel安装与部署,实现redis的高可用
- 社交网络图中结点的“重要性”计算
- php vm_facebook hiphop php vm 兑现概述(二)
- 用异常处理改编猜数游戏程序
- 安装原生Win7-SP1重要补丁
- FPGA学习日志——VGA接口项目
- 机器人唱歌bgm_变形金刚5所有背景乐插曲盘点 长老机器人弹钢琴BGM是什么歌
- JS基础之数组--概述、创建数组的几种方式、数组的特点、数组的常用方法、数组的解构赋值、数组高级API
- Rational Rose--简介
- 电脑宏碁acer care center充电限值怎么第二天自动关闭
- 【光剑藏书轩2021】5分钟读懂《贫穷的本质》:“穷人通常缺少信息来源”
- Scala知识点21---高阶方法
- Archlinux和Windows双系统安装