HTTP是一個優(yōu)秀的通信協(xié)議，不過事物皆具有雙面性，該協(xié)議也是有不足之處，大概有以下幾點(diǎn)：

• 使用明文傳輸，可能會被竊取不安全
• 不驗(yàn)證通信方身份
• 無法證明報文的完整性，證明不了報文是否被修改

一、HTTP不具備加密功能

HTTP協(xié)議本身是沒有加密功能，所以無法對請求和響應(yīng)等內(nèi)容加密。HTTP報文均采用明文形式，數(shù)據(jù)包在網(wǎng)絡(luò)間傳輸很容易就被人竊取，如使用抓包工具(Wireshark)等。在對數(shù)據(jù)包進(jìn)行抓取后進(jìn)行分析，由于報文是以明文形式傳輸，如果內(nèi)容是關(guān)于如個人信息等重要隱私則可能會被他人獲取后所利用，造成損失。

二、對內(nèi)容進(jìn)行加密

對內(nèi)容加密是一種保護(hù)信息的好方法，HTTP是沒有加密機(jī)制的，所以需要借助第三方來幫助實(shí)現(xiàn)加密。對內(nèi)容加密的方式有很多如：

• SHA安全散列算法
• MD5信息-摘要算法
• BASE64(BASE64Encoder、BASE64Decoder類)
• RSA非對稱加密算法
• DES等

主要分為兩大類，對稱加密和非對稱加密(對于加密這里就不做深入的討論，感興趣的朋友可以去查閱相關(guān)資料)。

[[276165]]

三、只對內(nèi)容進(jìn)行加密的不足之處

• 對于內(nèi)容的加密并不能完全地保證信息的安全，因?yàn)榧词箤?nèi)容進(jìn)行加密但數(shù)據(jù)包還是可以被竊取的，并且加密內(nèi)容依然很有可能被解密出來。
• HTTP協(xié)議通信中請求和響應(yīng)是不會對通信方進(jìn)行確認(rèn)的，所以可能會遭遇身份偽裝。如發(fā)送的服務(wù)器是否就是真的目標(biāo)主機(jī)、響應(yīng)是否返回到真實(shí)發(fā)出請求的客戶端等。
• 加密之后的報文雖然安全性提高了，但是還是證明不了報文內(nèi)容是否被修改過。

[[276166]]

所以只對內(nèi)容加密并不完善，需要一種更加全面的安全解決方案，不僅保證內(nèi)容安全也要保證通信的安全等多方面--HTTPS。

三、什么是SSL和TSL?

在討論HTTPS之前得先了解下SSL和TSL協(xié)議。

[[276167]]

• SSL：安全套接層，位于可靠的面向連接的網(wǎng)絡(luò)層協(xié)議和應(yīng)用層協(xié)議之間的一種協(xié)議層。
• TSL：安全層傳輸協(xié)議，用于兩個應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。該協(xié)議由兩層組成：TLS記錄協(xié)議和TLS握手協(xié)議。

SSL技術(shù)最初由網(wǎng)景公司主導(dǎo)開發(fā)，開發(fā)過SSL3.0之前的版本后來主導(dǎo)權(quán)轉(zhuǎn)移到IETF。IETF以SSL為原型開發(fā)了TSL協(xié)議。當(dāng)前主流版本是SSL3.0和TLS1.0。

四、HTTPS基礎(chǔ)概念

HTTPS并不算是一個新協(xié)議，是將HTTP協(xié)議通信接口部分用SSL和TSL協(xié)議代替。如下圖所示：

解析：從最初HTTP與TCP直接通信轉(zhuǎn)變?yōu)镠TTP先與SSL通信，之后SSL再與TCP通信?？梢岳斫鉃镠TTP加多了層SSL協(xié)議外套就變?yōu)榱薍TTPS。

下面，通過一條公式來表達(dá)HTTPS：HTTP + 加密 + 認(rèn)證 + 完整性保護(hù) = HTTPS

五、HTTPS是如何進(jìn)行通信的?

概述：HTTPS通信過程結(jié)合了對稱加密和非對稱加密兩種方法。HTTPS服務(wù)端在連接建立SSL通信時先會將自身的公鑰發(fā)送給客戶端。客戶端拿到公鑰后通過非對稱加密與服務(wù)端協(xié)商數(shù)據(jù)傳輸通道的對稱加密密鑰。一旦雙方協(xié)商出會話密鑰，則后續(xù)的數(shù)據(jù)通訊就會一直使用基于該會話密鑰的對稱加密算法了。

具體流程：

• 客戶端發(fā)送報文開始SSL通信。
• 服務(wù)端可以進(jìn)行SSL連接時就會發(fā)送應(yīng)答報文給客戶端。
• 接下來服務(wù)端發(fā)送Certificate報文(包含公開密鑰證書)給客戶端。
• 最后服務(wù)端發(fā)送通知報文通知客戶端。
• 客戶端先生成Pre-master secret隨機(jī)密碼，并以包含Pre-master secret且使用公鑰加密的報文響應(yīng)服務(wù)端。
• 客戶端繼續(xù)發(fā)送報文提示服務(wù)器說接下來的所有通信都采用Pre-master secret密鑰加密。
• 客戶端發(fā)送Finsh報文(該報文包含連接至今所有的整體校驗(yàn)值)
• 服務(wù)器也重復(fù)6 7步驟發(fā)送同樣的報文，當(dāng)Finsh報文交換結(jié)束后SSL連接算是建立完成。
• 接下來就是進(jìn)行HTTP請求了，同時通信會受到SSL的保護(hù)。

六、使用HTTPS是否很完美?

[[276169]]

• HTTPS比HTTP通信慢
• 導(dǎo)致客戶端和服務(wù)器負(fù)載增強(qiáng)
• 購買證書需要開銷

HTTPS由于除了TCP連接、HTTP請求響應(yīng)之外還需要進(jìn)行SSL通信所以效率會相對與HTTP慢。其次，客戶端和服務(wù)端需要進(jìn)行加密和解密處理，當(dāng)訪問量多時會相對于使用HTTP來說負(fù)載增強(qiáng)。另外，進(jìn)行HTTPS通信需要購買證書，可能對于一些服務(wù)或小型網(wǎng)站來說并不劃算。

六、HTTPS在哪些場景下應(yīng)用比較合適?

綜上HTTPS的特點(diǎn)，HTTPS適用于多像交易支付等對安全性要求很高的服務(wù)進(jìn)行加密通信，包括一些會包含個人敏感信息的服務(wù)等。如果非敏感信息等則使用HTTP通信。

[[276170]]

七、總結(jié)

HTTP是一個優(yōu)秀的協(xié)議，但是由于其不支持加密等原因?qū)е掳踩员容^差。提高安全性的方式有多種，如采用加密算法對內(nèi)容進(jìn)行加密等。HTTPS協(xié)議則提供了較為完善的方案。HTTPS不是一種新協(xié)議，是通過HTTP結(jié)合SSL/TSL實(shí)現(xiàn)了通信安全。但是HTTPS也有其缺點(diǎn)，所以要結(jié)合具體場景情況合理地使用才能發(fā)揮HTTPS的強(qiáng)大作用。