HTTPS

1、HTTP 的缺点

HTTP的主要缺点：

• 通信使用明文（不加密），内容可能会被窃听

  HTTP 本身不具备加密的功能，因此无法做到对通信整体（使用 HTTP 协议通信的请求和响应的内容）进行加密。所以按TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窃听。

• 不验证通信方的身份，有可能遭遇伪装

  HTTP 协议中的请求和响应不会对通信方进行确认。也就是说任何人都可以发起请求。服务器只要接收到请求，不管对方是谁都会返回一个响应，所以就会出现“服务器是否就是发送请求中 URI 真正指定的主机，
  返回的响应是否真的返回到实际提出请求的客户端等等问题。

• 无法证明报文的完整性，有可能已遭篡改

  HTTP 协议无法证明通信的报文完整性，在请求或响应送出之后直到对方接收之前的这段时间内，即使请求或响应的内容遭到篡改，也没有办法获悉。

2、HTTPS

为了统一解决上面的问题，需要在 HTTP 上再加入加密处理和认证等机制来确保安全。所以我们就把添加了加密及认证机制的 HTTP 称为 HTTPS。

HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用SSL（Secure Socket Layer）和 TLS（Transport Layer Security）协议代替而已。

2.1、SSL协议

SSL协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。

TSL是以 SSL为原型开发的协议，有时会统一称该协议为 SSL。

• 连接的私密性

  SSL利用对称加密算法对传输数据进行加密，并利用密钥交换算法—RSA（Rivest Shamir and Adleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。

• 身份验证机制

  基于证书利用数字签名方法对服务器和客户端进行身份验证。SSL服务器和客户端通过公钥基础设施PKI（Public Key Infrastructure）提供的机制从CA获取证书。

• 内容的可靠性

  消息传输过程中使用基于密钥的消息验证码MAC（Message Authentication Code）来检验消息的完整性。（MAC算法是将密钥和任意长度的数据转换为固定长度数据的一种算法。）

2.2、HTTPS 的安全通信机制

HTTPS 的通信步骤:

步骤 1： 客户端通过发送 Client Hello 报文开始 SSL通信。报文中包含客户端支持的 SSL的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。

步骤 2： 服务器可进行 SSL通信时，会以 Server Hello 报文作为应答。和客户端一样，在报文中包含 SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤 3： 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。

步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶段的 SSL握手协商部分结束。

步骤 5： SSL第一次握手结束之后，客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-mastersecret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。

步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。

步骤 7： 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。

步骤 8： 服务器同样发送 Change Cipher Spec 报文。

步骤 9： 服务器同样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL连接就算建立完成。当然，通信会受到 SSL的保护。从此处开始进行应用层协议的通信，即发送 HTTP 请求。

步骤 11： 应用层协议通信，即发送 HTTP 响应。

步骤 12： 最后由客户端断开连接。断开连接时，发送 close_notify 报文。上图做了一些省略，这步之后再发送 TCP FIN 报文来关闭与 TCP的通信。

下面是对整个流程的图解：

上图中说明了从仅使用服务器端的公开密钥证书（服务器证书）建立 HTTPS 通信的整个过程。

2.3 HTTPS缺点

• 加密通信会会消耗更多的CPU 及内存资源。
• 当使用 SSL时，它的处理速度会变慢。
• 需要支出额外的证书成本。