HTTPS SSL/TLS 工作流程

一、HTTP/HTTPS 简介

HTTP（超文本传输协议）是用于传输超媒体文档（如 HTML）的应用层协议，是互联网上应用最为广泛的一种网络协议。

1、HTTP协议相关内容

• URL布局：http://host[":"port][abs_path]，此中host是主机名，port是端口（默认端口80），abs_path是绝对路径。例如http://www.example.com:8080/index.html，这里www.example.com是主机名，8080是端口（非默认），/index.html是绝对路径。
  
• 请求：包罗请求行、消息报头、请求正文。
  
  
  
  • 请求行：如GET /index.html HTTP/1.1\r\n\r\n，GET是方法（表示请求资源），/index.html是请求的URI（统一资源标识符），HTTP/1.1是HTTP版本，\r\n\r\n是回车换行符，用于分隔请求行和消息报头。
    
  • 消息报头：包罗各种请求相关的信息，如User-Agent（用户署理，标识客户端信息）、Accept（可接受的内容类型）等。
    
  • 请求正文：一般在POST等请求方法中携带数据，如表单提交的数据等。
    
  
  
• 响应：由状态行、消息报头、响应正文组成。
  
  
  
  • 状态行：如HTTP/1.1 200 OK\r\n，HTTP/1.1是版本，200是状态码（表示乐成），OK是状态描述。常见状态码还有404（未找到资源）、500（服务器内部错误）等。
    
  • 消息报头：例如Server: XHttpd\r\n（服务器软件信息）、Content-Type: text/html\r\n（响应内容类型）、Content-Length: 128\r\n\r\n（响应内容长度）等。
    
  • 响应正文：实际返回的数据，如网页的HTML代码等。
    
  
  

2、HTTPS协议

• HTTPS是HTTP的安全版本，在HTTP的底子上通过SSL/TLS协议举行加密传输，默认端口是443。它可以保证数据传输的安全性和完整性，防止数据被盗取、篡改等。例如在举行网上银行交易、登录重要账号等场景中，通常使用HTTPS协议来确保信息安全。
  

3、HTTP版本差异：

• HTTP 1.0：默认使用短毗连，即每次请求都要建立一次TCP毗连，请求竣事后关闭毗连，效率较低。
  
• HTTP 1.1：默认使用长毗连，在肯定时间内保持TCP毗连不停开，多个请求可以复用同一个毗连，提高了传输效率。
  

二、HTTPS 协议工作流程解析

我们先通过流程图对 HTTPS 的工作机制做逐步解说：
1. 客户端请求 SSL 握手

当用户访问一个 HTTPS 网站时，客户端（如浏览器）会发起 SSL/TLS 握手请求。这是 HTTPS 工作的第一步，其目的是协商安全通讯所需的协议版本、加密算法和会话密钥。

• 关键点：
  
  
  
  • 客户端会发送支持的协议版本（如 TLS 1.2 或 TLS 1.3）和加密套件列表。
    
  • 提供一个随机数（Client Random）以参与后续的密钥生成。
    
  
  

2. 服务端吸收 SSL 握手毗连

服务端响应握手请求，返回以下信息：

• 服务端随机数：Server Random，与客户端随机数一起用于密钥生成。
  
• 数字证书：由可信 CA 签发，包罗服务端的公钥，用于验证服务端身份。
  
• 选定的加密算法：从客户端提供的加密套件中选择。
  

如果客户端验证数字证书失败（例如伪造网站证书或 CA 不可信），通讯会终止。
3. TLS 握手中的密钥协商

• 客户端生成会话密钥：客户端生成一个 Pre-Master Secret，用服务端公钥加密后发送给服务端。
  
• 服务端解密 Pre-Master Secret：服务端使用私钥解密得到 Pre-Master Secret。
  
• 对称密钥生成：客户端和服务端通过 Client Random、Server Random 和 Pre-Master Secret 派生出类似的对称加密密钥，用于后续的加密通讯。
  

4. HTTP 数据的加密与解密

• 握手完成后，双方基于协商的对称密钥加密传输数据。
  
• 客户端：将 HTTP 请求（包括请求头和数据）加密为 TLS 记录数据。
  
• 服务端：吸收加密的 TLS 数据，解密后提取 HTTP 请求内容并处理。
  
• 服务端响应：生成 HTTP 响应（例如网页 HTML 或 JSON 数据），加密后通过 TLS 通道返回客户端。
  
• 客户端解密：解析 TLS 记录数据，提取 HTTP 响应内容并呈现给用户。
  

5. 安全性保障

HTTPS 的核心优势在于：

• 保密性：防止数据被窃听。
  
• 完整性：防止数据被篡改。
  
• 认证性：验证通讯双方的身份。
  

---

三、HTTPS 协议的相关知识拓展

1. TLS 与 SSL 的区别

• SSL（Secure Sockets Layer）：由网景公司开发的早期版本（1.0-3.0）。
  
• TLS（Transport Layer Security）：SSL 的后续版本，主要包括 TLS 1.0、1.2 和最新的 TLS 1.3。
  
• TLS 1.3 特性：
  
  
  
  • 简化握手流程，提升性能。
    
  • 移除了一些不安全的算法（如 RSA 密钥互换）。
    
  
  

2. HTTPS 的性能优化

只管 HTTPS 增长了握手和加密的盘算开销，但今世优化技术（如 TLS Session Resumption 和 HTTP/2）使得其性能接近 HTTP：

• TLS Session Resumption：答应复用之前的会话密钥，避免重新握手。
  
• HTTP/2：多路复用、头部压缩等特性提升了 HTTPS 的性能。
  

3. HTTPS 的安全性

只管 HTTPS 非常安全，但仍需注意：

• 中心人攻击（MITM）：通过伪造证书拦截通讯。
  
• 证书信任链题目：不可信的 CA 可能签发伪造证书。
  
• 证书吊销与 OCSP：浏览器需要验证证书是否被吊销，提升安全性。
  

---

四、深入学习 HTTPS 和网络安全的册本与资源

保举册本

• 《HTTP权威指南》（HTTP: The Definitive Guide）
  
  
  
  • 一本深入解说 HTTP 协议的经典著作，得当理解 HTTPS 的底子原理。
    
  
  
• 《SSL和TLS协议详解》（SSL and TLS: Designing and Building Secure Systems）
  
  
  
  • 深入解说 SSL/TLS 协议的握手流程、加密算法和实现细节。
    
  
  
• 《盘算机网络：自顶向下方法》（Computer Networking: A Top-Down Approach）
  
  
  
  • 一本综合性的网络册本，涵盖 HTTPS、TLS 和加密协议等内容。
    
  
  
• 《Kali Linux 网络安全渗透测试》
  
  
  
  • 方向实战，得当了解 HTTPS 安全漏洞的实际检测。
    
  
  

保举博客

• Cloudflare Blog
  
  
  
  • 高质量的网络技术博客，涵盖 HTTPS、TLS 1.3 等最新发展。
    
  
  
• Mozilla Developer Network (MDN)
  
  
  
  • MDN 是学习 HTTP 和 HTTPS 的权威资源，内容详尽且直观。
    
  
  
• Let’s Encrypt
  
  
  
  • 聚焦于免费证书的颁发，资助开发者快速配置 HTTPS。
    
  
  
• OWASP HTTPS Security Cheat Sheet
  
  
  
  • 关于 HTTPS 实践的安全指南，得当开发者快速了解配置要点。
    
  
  

---

五、配置 HTTPS 的实践发起

1. 使用 Let’s Encrypt 免费证书

• 快速生成 HTTPS 证书并配置到服务器：
  1. sudo certbot --nginx

  复制代码

2. 逼迫 HTTPS

• 配置 Web 服务器（如 Nginx）重定向 HTTP 到 HTTPS：
  1. server {
  2.     listen 80;
  3.     server_name example.com;
  4.     return 301 https://$host$request_uri;
  5. }

  复制代码

3. 启用 HTTP/2

• 在 Nginx 中启用 HTTP/2：
  1. server {
  2.     listen 443 ssl http2;
  3.     ...
  4. }

  复制代码

---

六、进一步学习发起

• 深入研究 TLS 1.3 的性能优化。
  
• 实战配置 HTTPS，避免常见的安全漏洞。
  
• 关注新型的安全协议（如 QUIC 和 HTTP/3）的发展。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告