HTTPS和HTTP的区别

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。

为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

SSL握手

先来看看HTTPS建立连接的过程,相比HTTP的三次握手,HTTPS在三次握手之后多了SSL握手。

整个流程大概如下:
1.浏览器将自己支持的一套加密规则发送给网站。

2.网站部署了一组SSL秘钥,分私钥和秘钥。

3.网站从浏览器的加密规则中选出一组加密算法与HASH算法,并将自己的身份信息(公钥)以证书的形式发回给浏览器。证书里面包含了网站地址加密公钥,以及证书的颁发机构等信息。

4.获得网站证书之后浏览器要做以下工作:

a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。

b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。

c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密。这个加密过程是非对称加密,即公钥加密,私钥解密。私钥只在网站服务器上存储,其他人无法获得这个私钥,也就无法解密。可理解为公钥是锁,私钥是钥匙,客户端将随机数用公钥锁上,经过网络传输到服务器,整个过程就算有人拦截了信息,由于没有私钥解锁,也就无法解密。

5.将生成的所有信息发送给网站。

6.网站接收浏览器发来的数据之后,使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。

7.使用密码加密一段握手消息,发送给浏览器。

8.浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证,目的是为了保证双方都获得了一致的密码,并且可以正常的加密解密数据,为后续真正数据的传输做一次测试。

备注:非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键,因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥,公钥只能用于加密数据,因此可以随意传输,而网站的私钥用于对数据进行解密,所以网站都会非常小心的保管自己的私钥,防止泄漏。

如何防劫持

对于HTTP请求来说,常见的劫持有DNS劫持和内容劫持。

DNS劫持

举个网上的例子,有人在知乎问过一个问题。

在浏览器输入如下域名https:// www.zhihu.com那浏览器要打开这个网站,首先要解析域名www.zhihu.com,结果这个域名被黑客劫持到他的私人服务器1.2.3.4,结果我的浏览器和他 的私人服务器1.2.3.4建立SSL连接,他的服务器1.2.3.4也和www.zhihu.com建立SSL的连接,我收发的数据都通过他的服务器1.2.3.4中转,也就是黑客的服务器1.2.3.4相当于一个https代理服务器,结果我收发的所有数据,他都能看到。可能这样被劫持吗?

这个黑客的攻击就是通常说的中间人攻击,跳转1.2.3.4就是DNS劫持,DNS被劫持到一个非源端的IP上。我们根据上文SSL握手的流程来分析一下,这种可能性是否存在。

首先如果黑客要跟你的浏览器建立SSL连接,那么他需要有一个CA证书,而通常系统内置根证书都是大型机构的根证书,几乎无法伪造。
如果他要假冒其他机构颁发证书,因为没有颁发机构的秘钥,那么这个证书的指纹一定没办法对上,还是一样会报警。

或者,除非用户自己主动导入一个自己信任的证书。

记住,不要随便安装受信任证书,否则HTTPS也帮不了你。我们平时为了调试HTTPS请求,使用Charles/MitmProxy进行抓包,也需要在手机端导入一个证书,让用户选择信任安装,目的就是将Charles/MitmProxy作为中间人代理,如果没有用户信任安装证书的过程,也同样无法解析HTTPS的请求包。

还有人就说了,我可以让用户回落到HTTP协议啊,中间人用HTTPS跟服务器通信,然后用HTTP跟客户端通信——要知道大部分用户在地址栏输入URL时,并没有指定协议的习惯,都是打www开头而不是打https://www开头,能用HTTPS全是Web+Server上80端口301+Location到HTTPS的功劳。

看起来似乎中间人充当了一个替换页面里HTTPS资源到HTTP的反向代理,好像可行性还是很高。

但是只要利用HSTS(HTTP+Strict+Transport+Security,RFC6797)就可以解决这个问题。通过在HTTP+Header中加入Strict-Transport-Security的声明,告诉浏览器在一定时间内必须通过HTTPS协议访问本域名下的资源。

这种情况下,只要用户曾经在安全网络环境下访问过一次某站,中间人在指定时间内也无法让其回落到HTTP

内容劫持

解决完DNS劫持,再看内容劫持就简单多了。

你作为一个中间人,你没有服务器私钥A,是不能解密客户端发送的内容的,如果你没有客户端自己生成的密钥B,所以你也不能解密客户端发过去的内容的。

总结

1.CA证书保证了公钥的可靠性。
2.服务端私钥+公钥的非对称加解密保证了客户端生成的随机数传输安全,不会被中间人拦截获取。But,非对称加密对服务端开销大。
3.所以利用随机数的对称加密保证后续通讯的安全性,也可以降低服务器的解密开销。
4.HTTPS只针对传输内容进行加密,保证的是客户端和网站之间的信息就算被拦截也无法破解。如果不是全站HTTPS,仅仅只是在登录页采用HTTPS,那些HTTP连接的页面同样是危险的,从HTTP->HTTPS跳转依然可能被劫持。国内的部分银行就是这样,对安全性的考量还比不上百度,百度早就全站HTTPS了。

HTTPS 防劫持攻击相关推荐

  1. 网站域名服务器加密,网站域名利用https防劫持方法

    原标题:网站域名利用https防劫持方法 公共 DNS.HttpDNS 的部署成本过高,并且具有一定的技术门槛,在面对无孔不入的 DNS 劫持时有时候其实有点力不从心. 那么如何简单有效低成本的加强域 ...

  2. http网站怎么配置https防劫持

    HTTPS相比HTTP,在请求开始之前增加了握手的环节,在进行SSL握手时,客户端浏览器会对服务器的身份进行验证,这是通过SSL证书来实现的,SSL证书是由第三方权威机构CA颁发,通俗一点来说就是网站 ...

  3. 游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

    本文讲的是游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万,生活中游戏娱乐是必不可少的,尤其是竞技类的网络游戏,吸引着大批的玩家,有的玩家会进行充值购买装备,而有的玩家则会选择购买游戏辅助(或叫游 ...

  4. 全球免费公共【 DNS 】解析服务器 IP 地址列表推荐 【解决无法上网+加速+防劫持】

    全球免费公共 DNS 解析服务器 IP 地址列表推荐 (解决无法上网/加速/防劫持)    基本上接触过网络相关知识的人应该多少都会听过 DNS 这个名词.因为DNS 它非常重要,在我们上网的过程中扮 ...

  5. 阿里云盾特点及防DDoS攻击服务介绍

    阿里云盾特点及防DDoS攻击服务介绍 云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合强大的威胁发现和分析能力,为用户提供一站式安全服务.云盾是阿里云产品的统称,核心产品是安骑士.DDoS防护.W ...

  6. ICANN敦促业界使用DNSSEC,应对DNS劫持攻击

    HTTPS加密 可以有效帮助服务器应对DNS欺骗.DNS劫持.ARP攻击等安全威胁.DNS是什么?DNS如何被利用?HTTPS如何防止DNS欺骗? DNS如何工作? 如果您想访问www.example ...

  7. ASP。NET 中SQL防注入攻击

    一.什么是SQL注入式攻击 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影 ...

  8. tp5防止sql注入mysql_TP5框架 《防sql注入、防xss攻击》

    版权声明:本文为博主原创文章,转载请注明原文出处! https://blog.csdn.net/qq_23375733/article/details/86606630 如题:tp5怎么防sql注入 ...

  9. 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法...

    这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...

  10. 基于SSLStrip的HTTPS会话劫持

    http://blog.sina.com.cn/s/blog_6b6e6bad01010fqb.html 0 引言 HTTPS作为一种安全的HTTP数据传输协议,被广泛应用于万维网上敏感信息的通信,例 ...

最新文章

  1. 做国内最好的ITSM服务管理软件
  2. 【Linux 驱动】第九章 与硬件通信
  3. 史上最全解读 | 飞桨模型库重大升级,主流算法模型全覆盖
  4. C语言函数调用的底层机制
  5. tensorflow应用问题记录
  6. AD常见集成库和立创EDA封装库导入AD与Gerber文件生成
  7. js基础之六种继承方式
  8. 一个大神的工程(复旦 季同学)16bit RISC cpu
  9. dede服务器建站_织梦建站之本地服务器怎么装,怎么部署
  10. greenplum建表策略详解
  11. 如何删除iPhone或iPad上的所有照片
  12. 学ui需要了解html,学UI设计需要掌握文案知识吗
  13. ASM、AAM算法介绍
  14. Nagios配置说明
  15. 英语初级语法--句子成分(词性)(成分)
  16. 大数据可视化陈为智慧树_智慧树知到_大数据可视化_答案章节单元测试答案
  17. win10字体安装_2345看图王:win10超好用的看图软件
  18. 如何查看mac的电池损耗呢?
  19. NCRE计算机等级考试Python真题(六)
  20. andriod的开发

热门文章

  1. 简单数论入门和基础数学知识(未完)
  2. VSCode解决中文乱码问题最详解
  3. SpringBoot 整合QUARTZ 并嵌入可视化界面
  4. Kali Linux 2017.3 安装网易云音乐
  5. Ghost工具进行分区对拷(备份、迁移系统)
  6. 【基于JavaEE的医院药品管理系统的设计与实现】
  7. 【3】基于深度神经网络的脑电睡眠分期方法研究(数据集分类)
  8. AVOD阅读笔记(二):多模型融合RPN----Aggregate View Obeject Detection network
  9. linux的串口驱动分析
  10. Google浏览器调试页面时设置分辨率