Protogenesis' blogs

HTTP 和 HTTPS

 
  • Protogenesis
  • May 06, 2019

HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是两种用于在计算机网络上传输数据的协议。它们的主要区别在于安全性:

  1. 安全性:
    • HTTP: HTTP 是一种不加密的协议,意味着通过 HTTP 传输的数据在网络上是明文可见的。这使得数据容易受到窃听、篡改和其他安全风险的威胁。
    • HTTPS: HTTPS 通过使用 SSL(Secure Sockets Layer)或 TLS(Transport Layer Security)加密协议来保护传输的数据。这意味着通过 HTTPS 传输的数据在传输过程中是加密的,从而更难以被窃听和篡改。
  2. 数据传输方式:
    • HTTP: HTTP 传输数据的过程中,数据在发送和接收时不被加密,因此容易被第三方截取和查看。
    • HTTPS: HTTPS 使用加密机制,确保数据在传输过程中经过加密,第三方难以理解其中的内容。
  3. 端口:
    • HTTP: 默认端口号为 80。
    • HTTPS: 默认端口号为 443。
  4. 证书:
    • HTTP: 无需证书,任何人都可以在网络上创建 HTTP 站点。
    • HTTPS: 需要 SSL / TLS 证书,用于验证服务器的身份。这些证书由受信任的证书颁发机构(CA)签发,可以确保访问的是合法的服务器,而不是恶意伪造的站点。
  5. 搜索引擎排名:
    • HTTP: 越来越多的搜索引擎开始偏好使用 HTTPS 站点,将其作为搜索排名的一个因素之一。这是因为 HTTPS 可以提供更安全的用户体验。
    • HTTPS: 在安全性方面更胜一筹,因此可能在搜索引擎排名中具有优势。
SSL / TLS

HTTPS 使用 SSL 或其继任者 TLS 协议来进行加密和保护数据的传输。SSL 和 TLS 是一组加密协议,用于在通信过程中确保数据的安全性和机密性。这些协议提供了以下几个主要的加密机制:

  1. 数据加密: 在 HTTPS 通信中,数据在发送之前会被加密,以防止中间人窃听和数据泄露。这意味着即使某人能够拦截通信流量,他们也无法轻易理解其中的内容,因为数据已经被加密。

  2. 数据完整性: SSL / TLS 协议还使用哈希函数和数字签名来确保数据的完整性。这意味着在数据传输过程中,如果数据被篡改,接收方可以检测到并拒绝接受被篡改的数据。

  3. 身份验证: SSL / TLS 证书用于验证服务器的身份。这些证书由受信任的证书颁发机构(CA)签发,证明服务器是合法的。当客户端连接到服务器时,服务器会向客户端提供其证书,客户端可以使用证书验证服务器的身份是否合法。

  4. 密钥交换: SSL / TLS 协议还包括密钥交换的过程,用于生成会话密钥,该密钥用于加密和解密实际的通信数据。这种密钥交换确保了在通信开始时生成的密钥只有通信双方知道,从而增加了安全性。

总之,SSL 和 TLS 协议通过加密、数据完整性检查、身份验证和密钥交换等机制,确保了 HTTPS 通信的安全性,使得数据在传输过程中更难以被窃听、篡改和攻击。

HTTPS 是怎么建立连接的?

HTTPS 建立连接的过程涉及了一系列步骤,其中包括 SSL / TLS 握手过程。以下是 HTTPS 建立连接的基本步骤:

  1. 客户端请求: 客户端(例如,浏览器)向服务器发送一个连接请求,请求访问一个安全的 HTTPS 网站。这个请求是一个 URL,以 https:// 开头。
  2. 服务器认证: 服务器接收到客户端的连接请求后,会将服务器的 SSL / TLS 证书发送回给客户端。证书中包含了服务器的公钥和其他信息。
  3. 客户端验证: 客户端收到服务器的证书后,会验证证书的合法性。客户端会检查证书的颁发机构(CA)是否受信任,以及证书中的域名是否与客户端请求的域名匹配。
  4. 生成会话密钥: 如果服务器的证书被客户端验证通过,客户端会生成一个随机的会话密钥,用于后续的通信加密。
  5. 会话密钥加密: 客户端使用服务器的公钥(从服务器的证书中获得)来加密生成的会话密钥,并将加密后的会话密钥发送给服务器。
  6. 握手完成: 服务器收到客户端发送的加密的会话密钥后,使用服务器的私钥解密该会话密钥。此后,客户端和服务器都知道了会话密钥,用于加密和解密后续的通信。
  7. 安全通信: 从这一步开始,客户端和服务器使用会话密钥进行加密和解密通信。所有传输的数据都会使用会话密钥进行加密,从而确保传输的数据在网络上不易被窃听和篡改。

为什么 HTTPS 不直接用非对称加密算法来进行数据传输?

虽然 HTTPS 使用非对称加密(公钥加密)来进行握手和密钥交换,但为了实际的数据传输,HTTPS 会切换到对称加密(私钥加密)的方式。因为非对称加密虽然安全,但它在加密和解密大量数据时相对较慢,而对称加密在这方面更加高效:

  1. 性能: 非对称加密的加密和解密速度相对较慢,因为它涉及到复杂的数学运算。这对于大量数据的传输会导致显著的性能下降。而对称加密使用相同的密钥进行加密和解密,速度更快。

  2. 计算成本: 非对称加密需要更多的计算资源和计算成本,这在服务器和客户端上都会带来额外的负担。对称加密的计算成本较低。

  3. 前向保密: 对称加密允许前向保密(Forward Secrecy),这意味着即使服务器的私钥被泄露,之前的通信数据仍然是安全的。在非对称加密中,如果私钥泄露,之前的通信数据也会暴露。

因此,HTTPS 采用了一种混合的方式,结合了非对称加密和对称加密的优势。在握手和密钥交换阶段,使用非对称加密来确保安全性和验证服务器身份。一旦会话密钥生成,HTTPS 切换到对称加密来进行实际的数据传输,以提供更好的性能和效率。这种方法在保护数据的同时也兼顾了性能需求。

HTTP 1 和 HTTP 2 有什么区别?

HTTP/1.1 和 HTTP/2 是两个不同版本的 HTTP 协议,它们的区别主要集中在性能、传输效率和功能方面:

  1. 多路复用:

    • HTTP/1.1: 在 HTTP/1.1 中,每个请求都需要建立一个单独的连接,导致”队头阻塞”问题,其中一个请求的延迟可能会影响其他请求的处理速度。

      队头阻塞

      队头阻塞(Head-of-Line Blocking)是指在某些网络通信协议中,一个请求或数据块的延迟可能会影响后续请求或数据的处理速度的现象。这种现象会导致请求被阻塞在队列的前面,等待前面的请求处理完成,从而造成整体通信的延迟和性能下降。

      在 HTTP/1.1 中,一个常见的队头阻塞问题是由于每个请求都需要建立一个单独的连接,在请求和响应之间进行交互。这意味着如果一个请求的响应受到延迟,它会阻塞在队列的前面,而其他请求必须等待这个请求完成,才能继续处理。这种情况在网络通信中被称为队头阻塞,因为整个通信过程就像一个队列,阻塞在队头的请求会影响到后续请求的处理速度。

      HTTP/2 通过引入多路复用(Multiplexing)的特性来解决队头阻塞问题。在 HTTP/2 中,所有请求都可以通过单个连接并行处理,每个请求都被拆分成多个帧,这些帧可以乱序传输,然后在接收端重新组装。这样,即使一个请求的响应受到延迟,其他请求仍然可以继续进行,从而避免了队头阻塞问题。这是 HTTP/2 在性能方面的一个显著改进之一。

    • HTTP/2: HTTP/2 引入了多路复用(Multiplexing)功能,允许在单个连接上同时处理多个请求和响应。这消除了队头阻塞问题,提高了并发性能,使得多个请求可以同时传输而无需等待之前的请求完成。

  2. 头部压缩:
    • HTTP/1.1: 在 HTTP/1.1 中,每个请求和响应的头部信息都需要重复传输,浪费了带宽。
    • HTTP/2: HTTP/2 使用了帧和头部压缩技术,将头部信息压缩成较小的二进制格式,并通过首部表在客户端和服务器之间共享,减少了不必要的数据传输,提高了效率。
  3. 服务器推送:
    • HTTP/1.1: 在 HTTP/1.1 中,服务器无法主动向客户端推送资源,客户端必须发送请求才能获取资源。
    • HTTP/2: HTTP/2 支持服务器推送(Server Push),服务器可以在客户端请求之前主动将相关资源推送给客户端,从而减少了请求延迟,提高了性能。
  4. 流控制:
    • HTTP/1.1: HTTP/1.1 缺乏流控制机制,因此在处理大文件时可能导致网络拥塞。
    • HTTP/2: HTTP/2 引入了流控制机制,可以控制每个流的传输速率,从而更有效地管理网络流量,防止拥塞。
  5. 优化的二进制协议:
    • HTTP/1.1: HTTP/1.1 使用明文文本协议,容易被解析,但传输效率较低。
    • HTTP/2: HTTP/2 使用二进制协议,将数据转换为二进制格式进行传输,减少了数据传输的大小和延迟。
© Protogenesis' blogs
Search