面試突擊:為什麼要用HTTPS?它有什麼用?

2022.07.13
面試突擊:為什麼要用HTTPS?它有什麼用?

在說HTTPS 之前,我們先要了解HTTP,因為HTTP 是HTTPS 通訊的基礎。HTTP(HyperText Transport Protocol)超文本傳輸協議,它用於傳輸客戶端和服務器端的數據。

說到HTTPS 相信大部分人都是不陌生,因為目前我們使用的絕大數網站都是基於HTTPS 的,比如以下這些:

圖片

圖片

圖片

那麼問題來了,他們為什麼要使用HTTPS 呢?HTTPS 有哪些過人之處呢?

1.HTTP

在說HTTPS 之前,我們先要了解HTTP,因為HTTP 是HTTPS 通訊的基礎。HTTP(HyperText Transport Protocol)超文本傳輸協議,它用於傳輸客戶端和服務器端的數據。HTTP 使用很簡單也很方便,但卻存在以下3 個致命問題:

使用明文通訊,內容可以被竊聽。

不驗證通訊方的真實身份,可能會遭到偽裝。

無法證明報文的完整性,很容易被篡改。

鑑於以上問題,所以現在的系統會使用HTTPS 來替代HTTP。

2.HTTPS

首先來說,HTTPS 並不是一種新的協議,而是在HTTP 協議的基礎上添加了加密機制SSL(Secure Socket Layer)或TLS(Transport Layer Security)。HTTPS = HTTP + 加密+ 認證+ 完整性保護。

SSL 和TLS

SSL(Secure Socket Layer)最早是由瀏覽器開發廠商網景公司開發的,此公司開發了SSL 3.0 及3.0 之前的版本,之後便將SSL 交給了IETF(Internet Engineering Task Force)Internet 工程任務組的手中,IETF 以SSL 3.0 為基礎開發了TLS 1.0,所以可以認為TLS 是SSL 的“新版本”。

2.1 解決信任問題

作為HTTPS 來說,首先要解決的就是信任問題,也就是身份效驗的問題,如果不解決信任問題就會存在服務器偽裝,也就是“中間人攻擊”的問題。所謂的中間人攻擊指的是,正常情況下本該是客戶端和服務端直接進行交互的,但此處衝出來一個“壞人”(中間人),它包含在客戶端和服務器端之間,用於盜取和篡改雙方通訊的內容,如下圖所示:

圖片

HTTPS 解决信任问题采用的是数字证书的解决方案,也就是服务器在创建之初,会先向一个大家都认可的第三方平台申请一个可靠的数字证书,然后在客户端访问(服务器端)时,服务器端会先给客户端一个数字证书,以证明自己是一个可靠的服务器端,而非“中间人”。此时浏览器会负责效验和核对数字证书的有效性,如果数字证书有问题,那么客户端会立即停止通讯,如果没问题才会执行后续的流程,如下图所示:

圖片

有了数字证书之后,就可以验证服务器端的真实身份了,这样就解决了“中间人攻击”的问题,也解决了伪装的问题。

2.2 解决明文传输和完整性问题

虽然上面我们已经解决了信任问题,然而因为通讯双方是明文通讯的,所以在通讯时依然存在通讯内容被窃听的风险,此时应该怎么办呢?于是我们想到,使用加密来解决信息暴露的问题。

加密的分类

加密主要分为两大类:对称加密和非对称加密。

在对称加密中,有一个共享秘钥,通过这把共享秘钥可以实现信息的加密和信息的解密,它的特点是加密和解密的速度很快,但因为共享秘钥的问题,一旦共享秘钥被截获,那么所谓的加密和解码也就是一纸空谈了。

  • 在非对称加密中,有一对秘钥:公钥和私钥,使用公钥可以加密信息,但不能解密信息,使用私钥可以解密信息。它的特点是服务器端保存私钥,不对外暴露,只将公钥发送给客户端,而其他人即使拿到公钥,也解密不了加密的信息,所以此方式更安全,但非对称加密的执行速度比较慢。
  • 那在 HTTPS 中要使用对称加密还是非对称加密呢?使用对称加密,速度快,但不安全;使用非对称加密安全,但速度慢。只有小孩做选择,成年人都要,所以 HTTPS 中既使用了非对称加密也使用了对称加密,它的整个交互流程是这样的:

圖片

HTTPS 执行流程如下:

  • 客户端使用 HTTPS 访问服务器端。
  • 服务器端返回数字证书,以及使用非对称加密,生成一个公钥给客户端(私钥服务器端自己保留)。
  • 客户端验证数字证书是否有效,如果无效,终止访问,如果有效:

使用对称加密生成一个共享秘钥;

使用对称加密的共享秘钥加密数据;

使用非对称加密的公钥加密(对称加密生成的)共享秘钥。

发送加密后的秘钥和数据给服务器端。

  • 服务器端使用私钥解密出客户端(使用对称加密生成的)共享秘钥,再使用共享秘钥解密出数据的具体内容。
  • 之后客户端和服务器端就使用共享秘钥加密的内容内容进行交互了。

这样,HTTPS 既保证了安全性,同时又保证了高效性,可谓鱼和熊掌兼得。

使用加密的方式也间接的保证了数据的完整性问题,如果是不完整的数据或有多余的数据,那么在解密时会报错,这样就能间接的保证数据的完整性了。

总结

使用 HTTP 协议存在明文通讯和中间人攻击等问题,但这些问题在 HTTPS 中得到了有效的解决,HTTPS 通过数字证书解决了中间人攻击的问题,使用加密手段解决了明文通讯和数据完整性的问题。

参考 & 鸣谢

《图解HTTP》 

《图解TCP/IP网络知识轻松入门》