HTTPS和HTTP的区别
1、HTTP协议传输的数据都是未加密的,是明文的,使用HTTP协议传输隐私信息非常不安
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
2、HTTPS协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
HTTPs 传输流程
SSL/TLS协议的基本思路是采用公钥加密法,即
客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。
但是整个过程不是都是经过公钥加密、私钥解密的,在数据传输阶段,服务器和客户端双方用公有的相同的对称秘钥对数据进行加密解密,可以保证在数据收发过程中的安全,即是第三方获得数据包,也无法对其进行加密,解密和篡改。
以下内容参考博客:HTTPS 加密过程解析_波吉也有烦恼的博客-CSDN博客
- 客户端向服务端发起网络请求
- 服务度端向客户端返回携带 公钥A 的证书
- 客户端解析证书(浏览器完成的)验证合法性
- 验证通过之后 从证书中取出 公钥A
- 随后生成一个 随机码KEY(客户端公钥),并用公钥A进行加密,再传递给服务端
- 服务端接收到 随机码之后使用 私钥B 进行解码获取客户端公钥(随机码KEY)
- 然后将要传输的数据通过随机码 KEY进行加密发送给客户端
- 客户端接收到加密过的数据之后使用随机码KEY进行解密
涉及到的一些算法
这里面用到的算法是:RSA密钥交换算法(属于TLS 1.0版本的答案)
现在TLS 1.2已经成为主流,使用ECDHE算法
ECDHE算法流程文字描述如下:
(1)客户端随机生成随机值Ra,计算Pa(x, y) = Ra * Q(x, y),Q(x, y)为全世界公认的某个椭圆曲线算法的基点。将Pa(x, y)发送至服务器。
(2)服务器随机生成随机值Rb,计算Pb(x,y) = Rb * Q(x, y)。将Pb(x, y)发送至客户端。
(3)客户端计算Sa(x, y) = Ra * Pb(x, y);服务器计算Sb(x, y) = Rb *Pa(x, y)
(4)算法保证了Sa = Sb = S,提取其中的S的x向量作为密钥(预主密钥)。
