HTTPS和HTTP有什么区别,到底安全在哪里?
在上网获取信息的过程中,我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点,浏览器的地址栏中出现绿色图标时,意味着该站点支持 HTTPS 信息传输方式。HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体,也就是 HTTP+S。这个 S 可以是 TLS(安全传输层协议)、也可以是 SSL(安全套接层),不过我更认可另一个抽象概括的说法,HTTP+Security。首先,HTTPS并不是这种加密技术的正式名称,HTTPS代表的是“在TLS/SSL上实现的HTTP协议”,因此实现加密的其实是位于HTTP下面的TLS/SSL层。
我们看看TLS/SSL所实现的几个主要机制:
1. 证书:通过第三方权威证书颁发机构(如VeriSign)验证和担保网站的身份,防止他人伪造网站身份与不知情的用户建立加密连接。
2. 密钥交换:通过公钥(非对称)加密在网站服务器和用户之间协商生成一个共同的会话密钥。
3. 会话加密:通过机制(2)协商的会话密钥,用对称加密算法对会话的内容进行加密。
4. 消息校验:通过消息校验算法来防止加密信息在传输过程中被篡改。
通过上述机制,用户与网站之间的传输内容受到了保护,因此能够获得很高的安全性。不过,任何密码学手段都不是绝对安全的,上面几个机制中其实都存在可能的风险:
1. 证书:如果有人伪造证书,浏览器会发出警告,提示用户该网站的证书可能是伪造的,应该停止访问,但如果你无视浏览器的警告,你的会话信息就有可能被伪造者窃取。此外,如果第三方证书颁发机构遭到攻击,攻击者窃取了已颁发的证书密钥,就可以伪造相应的网站证书,完全骗过浏览器的安全机制,这样的例子的确曾经发生过。
2. 密钥交换:RSA,这是一种最普遍使用的公钥加密算法,一般来说安全性很高。
3. 会话加密:AES-256(CBC Mode),这是一种非常广泛使用的加密算法,采用256位密钥代表其安全性很高,如果采用128位密钥(AES-128)则安全性就差一些。
4. 消息校验:SHA1,这是一种散列算法,SHA1的安全性比MD5要好,但如果采用SHA256则安全性会更好一些。
上面很抽象是不是,我们用“传纸条”这个人人小时候都做过的事来形象的说明一下。
HTTP
假设你现在正坐在教室里上课,现在你非常想和走道旁的迷人的 TA 说一些话,一般这个时候你会用“传纸条”的方式来交流。而这个方式和 TCP/IP 协议基本的工作模式十分相像:
通过小动作引起对方注意;
对方以多种可能的方式(注视、肢体语言等)回应于你;
你确认对方感知到你后,将纸条传给对方;
对方阅读纸条;
对方给予你阅读后的反应;
怎么样,这个流程是不是很熟悉?
如果你要传递纸条的 TA 距离你很远怎么办?HTTP 协议就是指你在纸条上写明你要传给的 TA 是谁,或者 TA 的座位在哪,接着只需要途径的同学拿到纸条后根据纸条上的指示依次将纸条传过去就 OK 了。
这个时候问题来了:途径的同学完全可以观看并知道你在纸条上写了什么。
这就是 HTTP 传输所面临的问题之一:中间人攻击,指消息传递的过程中,处在传递路径上的攻击者可以嗅探或者窃听传输数据的内容。
HTTPS
HTTPS 针对这个问题,采用了“加密”的方式来解决。最著名原始的加密方法就是对称加密算法了,就是双方约定一个暗号,用什么字母替换什么字母之类的。现在一般采用一种叫 AES(高级加密算法)的对称算法。
对称加密算法既指加密和解密需要使用的密钥 key 是一样的。
AES 在数学上保证了,只要你使用的 key 足够长,破解几乎是不可能的(除非光子计算机造出来了)
我们先假设在没有密钥 key 的情况下,密文是无法被破解的,然后再回到这个教室。你将用 AES 加密后的内容噌噌噌地写在了纸条上,正要传出去的时候你突然想到,TA 没有 key 怎么解密内容呀,或者说,应该怎么把 key 给TA?
如果把 key 也写在纸条上,那么中间人照样可以破解窃听纸条内容。也许在现实环境中你有其他办法可以把 key 通过某种安全的渠道送到 TA 的手里,但是互联网上的实现难度就比较大了,毕竟不管怎样,数据都要经过那些路由。
于是聪明的人类发明了另一种加密算法——非对称加密算法。这种加密算法会生成两个密钥(key1 和 key2)。凡是 key1 加密的数据,key1 自身不能解密,需要 key2 才能解密;凡事 key2 加密的数据,key2 自身不能解密,只有 key1 才能解密。
目前这种算法有很多中,最常用的是 RSA。其基于的数学原理是:
两个大素数的乘积很容易算,但是用这个乘积去算出是哪两个素数相乘就很复杂了。好在以目前的技术,分解大数的素因确实比较困难,尤其是当这个大数足够大的时候(通常使用2的10次方个二进制位那么大),就算是超级计算机,解密也需要非常长的时间。
现在就把这种非对称加密的方法应用在我们教室传纸条的场景里。
你在写纸条内容之前先用 RSA 技术生成了一对密钥 k1 和 k2。
你把 k1 用明文传了出去,路经也许有人会截取,但是没有用,k1 加密的数据需要 k2 才可以破解,而 k2 在你自己手中。
k1 传到了目的人,目的人会去准备一个接下来准备用于对称加密(AES)的传输密钥 key,然后用收到的 k1 把 key 加密,传给你。
你用手上的 k2 解出 key 后,全教室只有你和你的目的人拥有这个对称加密的 key,你们俩就可以尽情聊天不怕窃听啦~
这里也许你会有问题,为什么不直接用非对称加密来加密信息,而是加密 AES 的 key 呢?因为非对称加密和解密的平均消耗时间比较长,为了节省时间提高效率,我们通常只是用它来交换密钥,而非直接传输数据。
然而使用非对称加密真的可以防范中间人攻击吗?虽然看上去很安全,但是实际上却挡不住可恶的中间人攻击。
假设你是 A,你的目的地是 B,现在要途径一个恶意同学M。中间人的恶意之处在于它会伪装成你的目标。
当你要和 B 完成第一次密钥交换的时候,M 把纸条扣了下来,假装自己是B并伪造了一个 key,然后用你发来的 k1 加密了 key 发还给你。
你以为你和 B 完成了密钥交换,实际上你是和 M 完成了密钥交换。
同事 M 和 B 完成一次密钥交换,让 B 以为和 A 你完成了密钥交换。
现在整体的加密流程变成了A(加密链接1)->M(明文)->B(加密链接2)的情况了,这时候 M 依然可以知道A和B传输的全部消息。
这个时候就是体现 HTTPS 和传纸条的区别了。在教室里,你是和一位与你身份几乎对等的的对象来通信;而在访问网站时,对方往往是一个比较大(或者知名)的服务者,他们有充沛的资源,或许他们可以向你证明他们的合法性。
此时我们需要引入一个非常权威的第三方,一个专门用来认证网站合法性的组织,可以叫做 CA(Certificate Authority)。各个网站服务商可以向 CA 申请证书,使得他们在建立安全连接时可以带上 CA 的签名。而 CA 得安全性是由操作系统或者浏览器来认证的。
你的 Windows、Mac、Linux、Chrome、Safari 等会在安装的时候带上一个他们认为安全的 CA 证书列表,只有和你建立安全连接的网站带有这些CA的签名,操作系统和浏览器才会认为这个链接是安全的,否则就有可能遭到中间人攻击。
一旦某个 CA 颁发的证书被用于的非法途径,那么这个 CA 之前颁发过的所有证书都将被视为不安全的,这让所有 CA 在颁发证书时都十分小心,所以 CA 证书在通常情况下是值得信任的。
正如声网agora.io Web SDK考虑数据安全问题,限制了http访问getUserMedia接口,只能通过https方式访问。所以会出现用http在Chrome浏览器(47以上版本)中访问Agora服务失败,我该怎么办?
Agora Web解决方案基于WebRTC技术建立浏览器间的音视频通信,在WebRTC协议中,浏览器通过getUserMedia接口获取视频(通过摄像头)和音频(通过麦克风)数据,Google Chrome是支持WebRTC的主流浏览器之一,在v47及以上版本,考虑到数据安全问题,限制了http访问getUserMedia接口,只能通过https方式访问。除了chrome浏览器外,Opera浏览器在v34版本后也跟进了对http的限制,Firefox暂时没有此更新。但是考虑到https是WebRTC协议推荐的安全访问方式,建议客户统一通过https来访问Agora Web服务,也能兼容各浏览器平台。
https 是什么意思
https (全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的http通道,简单讲是http的安全版。
类似 ”https://www.fuyeor.com“ 的网址就是开启了 HTTPS。
类似 ”http://www.fuyeor.com“ 的网址就是 HTTP 网站。
HTTPS 为什么安全
HTTPS 比 HTTP 更加安全。
https 相当于在HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。
HTTPS 代理是标准HTTP的更安全版本。最后添加的字母“S”表示“安全”。此代理的额外安全性由安全SSL连接提供。一般来说当用户需要通过网络传输私人信息时往往会选择使用HTTPS代理服务器。
如果用户使用HTTP代理进行一些危险操作,则数据可能被截获的风险很大。此外,不止是黑客对于用户信息感兴趣,Internet提供商同样也感兴趣。他们会在互联网上跟踪客户的每一步,拦截并记录所有对他们有用的信息。所以为了确保个人数据的安全,HTTPS在使用时,所有传输的流量都使用一种特殊的算法进行加密,该算法可以抵抗黑客攻击。同时,百度也更鼓励网站开启 https。
HTTPS和HTTP的区别:
1、HTTP的URL 以HTTP开头,而HTTPS 的URL 以HTTPS开头
2、HTTP 是不安全的,而 HTTPS 是安全的
3、HTTP 标准端口是80 ,而 HTTPS 的标准端口是443
4、在OSI 网络模型中,HTTP工作于应用层,而HTTPS 工作在传输层
5、HTTP 无法加密,而HTTPS 对传输的数据进行加密
6、HTTP无需证书,而HTTPS 需要CA机构颁发的SSL证书
HTTPS比HTTP更安全,因为它给传输的数据进行加密,确保了数据的完整性和安全性。
绛旓細1銆佸畨鍏ㄦт笉鍚 HTTP 鏄庢枃浼犺緭锛屾暟鎹兘鏄湭鍔犲瘑鐨勶紝瀹夊叏鎬ц緝宸锛汬TTPS锛圫SL+HTTP锛 鏁版嵁浼犺緭杩囩▼鏄姞瀵嗙殑锛屽畨鍏ㄦц緝濂姐2銆佹槸鍚﹂渶瑕丆A璇佷功 浣跨敤 HTTPS 鍗忚闇瑕佸埌 CA锛圕ertificate Authority锛屾暟瀛楄瘉涔﹁璇佹満鏋勶級 鐢宠璇佷功锛屼竴鑸厤璐硅瘉涔﹁緝灏戯紝鍥犺岄渶瑕佷竴瀹氳垂鐢ㄣ傝屼娇鐢 HTTP 鍗忚鏄笉闇瑕佺敤鍒癈A璇佷功鐨勩3...
绛旓細涓銆佷紶杈撲俊鎭畨鍏ㄦт笉鍚 1銆http鍗忚锛氭槸瓒呮枃鏈紶杈撳崗璁紝淇℃伅鏄槑鏂囦紶杈銆傚鏋滄敾鍑昏呮埅鍙栦簡Web娴忚鍣ㄥ拰缃戠珯鏈嶅姟鍣ㄤ箣闂寸殑浼犺緭鎶ユ枃锛屽氨鍙互鐩存帴璇绘噦鍏朵腑鐨勪俊鎭2銆乭ttps鍗忚锛氭槸鍏锋湁瀹夊叏鎬х殑ssl鍔犲瘑浼犺緭鍗忚锛屼负娴忚鍣ㄥ拰鏈嶅姟鍣ㄤ箣闂寸殑閫氫俊鍔犲瘑锛岀‘淇濇暟鎹紶杈撶殑瀹夊叏銆備簩銆杩炴帴鏂瑰紡涓嶅悓 1銆乭ttp鍗忚锛歨ttp鐨勮繛...
绛旓細1銆丠TTPS鏄姞瀵嗕紶杈撳崗璁紝HTTP鏄槑鏂囦紶杈撳崗璁;2銆丠TTPS闇瑕佺敤鍒癝SL璇佷功锛岃孒TTP涓嶇敤;3銆丠TTPS姣擧TTP鏇村姞瀹夊叏锛屽鎼滅储寮曟搸鏇村弸濂斤紝鍒╀簬SEO;4銆 HTTPS鏍囧噯绔彛443锛孒TTP鏍囧噯绔彛80;5銆 HTTPS鍩轰簬浼犺緭灞傦紝HTTP鍩轰簬搴旂敤灞;6銆 HTTPS鍦ㄦ祻瑙堝櫒鏄剧ず缁胯壊瀹夊叏閿侊紝HTTP娌℃湁鏄剧ず;鎬荤殑鏉ヨHTTPS姣擧TTP鏇村姞瀹夊叏锛岃兘澶...
绛旓細HTTPS鍜孒TTP鐨勫尯鍒富瑕佸涓嬶細1銆佹槸鍚﹀厤璐癸細https鍗忚闇瑕佸埌ca鐢宠璇佷功锛屼竴鑸厤璐硅瘉涔﹁緝灏戯紝鍥犺岄渶瑕佷竴瀹氳垂鐢紱http涓鑸槸鍏嶈垂鐨銆2銆瀹夊叏鎬锛歨ttp鏄秴鏂囨湰浼犺緭鍗忚锛屼俊鎭槸鏄庢枃浼犺緭锛沨ttps鍒欐槸鍏锋湁瀹夊叏鎬х殑ssl鍔犲瘑浼犺緭鍗忚銆3銆杩炴帴鏂瑰紡锛歨ttp鍜宧ttps浣跨敤鐨勬槸瀹屽叏涓嶅悓鐨勮繛鎺ユ柟寮忥紝鐢ㄧ殑绔彛涔熶笉涓鏍凤紝鍓嶈呮槸8...
绛旓細HTTP鍜孒TTPS涔嬮棿鐨勪富瑕佸尯鍒湪浜庡畨鍏ㄦу拰鏁版嵁浼犺緭鐨勬柟寮銆1. 瀹夊叏鎬э細HTTP鏄槑鏂囦紶杈撳崗璁紝鏁版嵁鍦ㄤ紶杈撹繃绋嬩腑涓嶅姞瀵嗭紝瀹规槗琚獌鍚拰绡℃敼銆傝孒TTPS浣跨敤SSL/TLS鍗忚瀵逛紶杈撶殑鏁版嵁杩涜鍔犲瘑锛屾彁楂樹簡鏁版嵁鐨勫畨鍏ㄦэ紝闃叉鏁版嵁琚獌鍚垨绡℃敼銆2. 鏁版嵁浼犺緭鏂瑰紡锛欻TTP浣跨敤TCP/IP鍗忚杩涜鏁版嵁浼犺緭锛屾暟鎹紶杈撹繃绋嬩腑鍙兘浼氳...
绛旓細涓銆佹寚浠d笉鍚 1銆HTTPS锛氭槸浠ュ畨鍏ㄤ负鐩爣鐨凥TTP閫氶亾锛岀畝鍗曡鏄疕TTP鐨勫畨鍏ㄧ増銆2銆丠TTP锛氭槸涓涓畝鍗曠殑璇锋眰-鍝嶅簲鍗忚锛岄氬父杩愯鍦═CP涔嬩笂銆備簩銆佺壒鐐逛笉鍚 1銆丠TTPS锛欻TTP涓嬪姞鍏SL灞傦紝HTTPS鐨勫畨鍏ㄥ熀纭鏄疭SL锛屽洜姝ゅ姞瀵嗙殑璇︾粏鍐呭灏遍渶瑕丼SL銆 鏄竴涓猆RI scheme锛堟娊璞℃爣璇嗙浣撶郴锛夛紝鍙ユ硶绫诲悓http:浣撶郴銆傜敤浜...
绛旓細HTTP鏄竴涓櫘閫氱殑鍗忚锛岀敤浜庡湪Web娴忚鍣ㄥ拰鏈嶅姟鍣ㄤ箣闂翠紶杈撴暟鎹傝孒TTPS鏄疕TTP鐨勫畨鍏ㄧ増鏈紝鎻愪緵浜嗘暟鎹姞瀵嗗拰璁よ瘉鐨勫姛鑳斤紝浠ョ‘淇濇暟鎹殑瀹夊叏浼犺緭銆傚浜庢秹鍙婃晱鎰熶俊鎭紙渚嬪鐧诲綍鍑嵁銆佹敮浠樹俊鎭瓑锛夌殑缃戠珯鍜屽簲鐢ㄧ▼搴忥紝鎺ㄨ崘浣跨敤HTTPS鏉ヤ繚闅滅敤鎴锋暟鎹殑瀹夊叏銆1.鏁版嵁浼犺緭鏂瑰紡锛欻TTP浣跨敤闈炲姞瀵嗙殑鏂瑰紡杩涜鏁版嵁浼犺緭锛岃孒TTPS...
绛旓細HTTPS鍜孒TTP鐨勫尯鍒被浼 鈥漢ttps锛/锛弚ww锛巉uyeor锛巆om鈥 鐨勭綉鍧灏辨槸寮鍚簡 HTTPS銆傜被浼 鈥漢ttp锛/锛弚ww锛巉uyeor锛巆om鈥 鐨勭綉鍧灏辨槸 HTTP 鐨勭綉绔欍涓銆乭ttps鍗忚闇瑕佸埌ca鐢宠璇佷功锛屼竴鑸厤璐硅瘉涔﹀緢灏戯紝闇瑕佷氦璐广備簩銆乭ttp鏄秴鏂囨湰浼犺緭鍗忚锛屼俊鎭槸鏄庢枃浼犺緭锛宧ttps 鍒欐槸鍏锋湁瀹夊叏鎬鐨剆sl鍔犲瘑浼犺緭鍗忚銆備笁銆...
绛旓細HTTPS鍜孒TTP鐨勫尯鍒富瑕佸涓嬶細1銆佹槸鍚﹀厤璐锛https鍗忚闇瑕佸埌ca鐢宠璇佷功锛屼竴鑸厤璐硅瘉涔﹁緝灏戯紝鍥犺岄渶瑕佷竴瀹氳垂鐢紱http涓鑸槸鍏嶈垂鐨勩2銆瀹夊叏鎬锛歨ttp鏄秴鏂囨湰浼犺緭鍗忚锛屼俊鎭槸鏄庢枃浼犺緭锛沨ttps鍒欐槸鍏锋湁瀹夊叏鎬х殑ssl鍔犲瘑浼犺緭鍗忚銆3銆杩炴帴鏂瑰紡锛歨ttp鍜宧ttps浣跨敤鐨勬槸瀹屽叏涓嶅悓鐨勮繛鎺ユ柟寮忥紝鐢ㄧ殑绔彛涔熶笉涓鏍凤紝鍓嶈呮槸...
绛旓細HTTPS 姣 HTTP 鏇村姞瀹夊叏銆https 鐩稿綋浜庡湪HTTP涓嬪姞鍏SL灞傦紝https鐨勫畨鍏ㄥ熀纭鏄疭SL锛屽洜姝ゅ姞瀵嗙殑璇︾粏鍐呭灏遍渶瑕丼SL銆 瀹冩槸涓涓猆RI scheme(鎶借薄鏍囪瘑绗︿綋绯)锛屽彞娉曠被鍚宧ttp:浣撶郴銆傜敤浜庡畨鍏ㄧ殑HTTP鏁版嵁浼犺緭銆備簩銆丠TTPS 涓浠涔瀹夊叏HTTPS 浠g悊鏄爣鍑咹TTP鐨勬洿瀹夊叏鐗堟湰銆傛渶鍚庢坊鍔犵殑瀛楁瘝鈥淪鈥濊〃绀衡滃畨鍏ㄢ濄傛浠g悊鐨...
