什么是 SSL、TLS 和 HTTPS?

打印 上一主题 下一主题

主题 766|帖子 766|积分 2298

什么是 SSL、TLS 和 HTTPS?



概念


  • SSL : 安全套接字层(Secure Sockets Layer,SSL) 是一种加密安全协议;(SSL是 TLS的前身)
  • TLS : 安全传输层协议(Transport Layer Security,TLS) 是为网络通信提供安全及数据完整性的一种安全协议;
  • HTTP : 超文本传输协议(Hyper Text Transfer Protocol) 是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。
  • HTTPS : 超文本传输安全协议(Hypertext Transfer Protocol Secure),是以安全为目标的HTTP通道,简单讲是HTTP的安全版;即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
SSL/TLS


  • SSL 介绍
    安全套接字层 (SSL) 是一种加密安全协议。它最初由 Netscape 于 1995 年开发,旨在确保 Internet 通信中的隐私、身份验证和数据完整性。SSL 是如今使用的现代 TLS 加密的前身。


    • SSL 是指安全套接字层,简而言之,它是一项标准技术,是为网络通信提供安全及数据完整性的一种安全协议;
    • SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持;

  • TLS 介绍
    传输层安全性(Transport Layer Security,TLS)是一种广泛采用的安全性协议,旨在促进互联网通信的私密性和数据安全性。TLS 的主要用例是对 web 应用程序和服务器之间的通信(例如,web 浏览器加载网站)进行加密。TLS 还可以用于加密其他通信,如电子邮件、消息传递和 IP 语音(VOIP)等。在本文中,我们将重点介绍 TLS 在 web 应用程序安全中发挥的作用。


    • TLS 其前身是 SSL,它最初的几个版本(SSL 1.0、SSL 2.0、SSL 3.0)由网景公司开发;
    • 1999年从 3.1 开始被 IETF 标准化并改名,发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本;
    • SSL3.0和TLS1.0由于存在安全漏洞,已经很少被使用到。
    • 目前使用最广泛的是TLS 1.1、TLS 1.2。

  • TLS 和 SSL 联系

    • SSL 是TLS(传输层安全性)的协议的直接前身。
    • SSL 的最终版本(3.0)与 TLS 的第一版本之间并无明显差异,应用名称更改只是表示所有权改变。
    • SSL 由 Netscape 于 1995 年开发,并且在 1999 年,互联网工程任务组(IETF)提出了对 SSL 的更新,由于不再牵涉到 Netscape,因此名称更改为 TLS。
    • SSL 自 1996 年推出 SSL 3.0 以来未曾更新过,并且存在多个已知漏洞,现已弃用。实际上,大多数现代 Web 浏览器已彻底不再支持 SSL
    • 由于它们紧密地联系在一起,这两个术语经常互换使用并混为一谈。有些人仍然使用 SSL 来指代 TLS,其他人则使用术语“SSL/TLS 加密”,因为 SSL 仍然具有很大的知名度。
    • 由于许多人仍在搜寻“SSL 保护”,因此这个术语在许多产品页面上仍然处于醒目位置。但如今提供“SSL”的任何供应商提供的几乎肯定都是 TLS 保护

  • SSL/TLS 作用


  • SSL/TLS 协议实现的功能有三个主要组成部分:加密、认证和完整性。

    • 加密:隐藏从第三方传输的数据。为了提供高度隐私,对传输的数据进行加密。这意味着,任何试图截取此数据的人都只会看到几乎无法解密的乱码字符。
    • 身份验证:在两个通信设备之间启动称为握手的身份验证过程,以确保两个设备确实是它们声称的真实身份。
    • 完整性:验证数据未被伪造或篡改。对数据进行数字签名,以提供数据完整性,验证数据是否在到达目标接收者之前被篡改过。

HTTP

HTTP(HyperText Transfer Protocol:超文本传输协议)是一种用于分布式、协作式和超媒体信息系统的应用层协议。 简单来说就是一种发布和接收 HTML 页面的方法,被用于在 Web 浏览器和网站服务器之间传递信息。

  • HTTP 是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等。
  • HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
  • HTTP特点:

    • http协议支持客户端/服务端模式,也是一种请求/响应模式的协议。
    • 简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。
    • 灵活:HTTP允许传输任意类型的数据对象。传输的类型由Content-Type加以标记。
    • 无连接:限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session。
    • 无状态:无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传。

  • HTTP缺点

    • 请求信息明文传输,容易被窃听截取;
    • 数据的完整性未校验,容易被篡改;
    • 没有验证对方身份,存在冒充危险;

  • URI和URL的区别

    • HTTP使用统一资源标识符(Uniform Resource Identifiers, URI)来传输数据和建立连接。
    • URI: 统一资源标识符(Uniform Resource Identifier)
    • URL: 统一资源定位符(Uniform Resource Location)
    • URI 是用来标示 一个具体的资源的,我们可以通过 URI 知道一个资源是什么。
    • URL 则是用来定位具体的资源的,标示了一个具体的资源位置。互联网上的每个文件都有一个唯一的URL。

HTTPS


HTTPS(Hypertext Transfer Protocol Secure:超文本传输安全协议)是一种透过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。

  • HTTPS 默认工作在 TCP 协议443端口,它的工作流程一般如以下方式:

    • TCP 三次同步握手
    • 客户端验证服务器数字证书
    • DH 算法协商对称加密算法的密钥、hash 算法的密钥
    • SSL 安全加密隧道协商完成
    • 网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的hash算法进行数据完整性保护,保证数据不被篡改。

  • HTTPS缺点

    • HTTPS协议多次握手,导致页面的加载时间延长近50%;
    • HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗;
    • 申请SSL证书需要钱,功能越强大的证书费用越高。
    • SSL涉及到的安全算法会消耗 CPU 资源,对服务器资源消耗较大。

  • HTTPS和HTTP的区别

    • HTTPS是HTTP协议的安全版本,HTTP协议的数据传输是明文的,是不安全的,HTTPS使用了SSL/TLS协议进行了加密处理。
    • http和https使用连接方式不同,默认端口也不一样,http是80,https是443。
    • 使用 HTTPS 协议需要到 CA(Certificate Authority,数字证书认证机构) 申请证书,一般免费证书较少,因而需要一定费用。证书颁发机构如:Symantec、Comodo、GoDaddy 和 GlobalSign 等。
    • HTTP 页面响应速度比 HTTPS 快,主要是因为 HTTP 使用 TCP 三次握手建立连接,客户端和服务器需要交换 3 个包,而 HTTPS除了 TCP 的三个包,还要加上 ssl 握手需要的 9 个包,所以一共是 12 个包。


SSL 证书


SSL 证书使得网站能够从 HTTP 转到更加安全的 HTTPS。SSL 证书是托管在网站源服务器中的数据文件。SSL 证书促成了 SSL/TLS 加密,它们含有网站的公钥和网站标识以及相关信息。尝试与源服务器通信的设备将引用此文件,以获取公钥并验证服务器的身份。私钥应保密并妥善保管。
SSL 证书内容

SSL 证书包含以下信息:

  • 针对其颁发证书的域名
  • 证书颁发给哪一个人、组织或设备
  • 证书由哪一证书颁发机构颁发
  • 证书颁发机构的数字签名
  • 关联的子域
  • 证书的颁发日期
  • 证书的到期日期
  • 公钥(私钥为保密状态)
用于 SSL 的公钥和私钥本质上是用于加密和解密数据的长字符串。使用公钥加密的数据只能用私钥解密,反之亦然。
SSL 证书作用


  • 互联网上的每个网站都应通过 HTTPS 提供服务。 原因如下:


  • 性能:现代 SSL 实际上可以缩短页面加载时间。
  • 搜索排名提升 :搜索引擎偏爱 HTTPS 网站。
  • 安全:使用 SSL 加密流量可确保任何人都无法窥探用户的数据。
  • 信任:通过在浏览器的地址栏中显示绿色锁,SSL 增加了访问者的信任度。
  • 合規性:SSL 是 PCI 合规性的关键组成部分。
  • 加密:SSL 证书促成了公钥私钥配对。客户端(例如 Web 浏览器)从服务器的 SSL 证书获取打开 TLS 连接所需的公钥。
  • 身份验证:SSL 证书可验证客户端正在与实际拥有该域的正确服务器进行通信。这有助于防止域欺骗和其他类型的攻击。
SSL 自签名证书

keytool命令生成证、管理数字证书


Reference

来源:https://www.cnblogs.com/librarookie/p/16373398.html
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

tsx81429

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表