HTTPS建設全解析
随著(zhe)網絡不(bù)斷融入日(rì)常生(sh<βēng)活和(hé)工(gōng)作(zuò)∞γ★當中,網絡安全問(wèn)題一(yī)直都(dōu)是(shì)一(yī)個(≠±'gè)不(bù)能(néng)忽略的(de)問(wèn)題。據CNCERT監測σ↑∏&發現(xiàn),2015年(nián)網頁仿冒、拒絕服務攻擊等已經形成成熟地¶(dì)下(xià)産業(yè)鏈的(de)威脅仍然呈現(xiàn)增長♣≠♥>(cháng)趨勢,針對(duì)中國(guó)網站(zhàn)的(d♠δe)仿冒頁面(URL鏈接)191699個(gè),較2014年(πεΩnián)增長(cháng)85.7%,涉及IP地(dì)址20488個(gè∞™✘₩),較2014年(nián)增長(cháng)199.4%。網頁篡改、網π₽站(zhàn)後門(mén)等攻擊事(shì)件(jiàn×∞±Ω)層出不(bù)窮,黨政機(jī)關、科(kē)研機(jī)構、重要(¥↑∏yào)行(xíng)業(yè)單位網站(zhàn★★™≈)依然是(shì)黑(hēi)客組織攻擊特别是(sh₩≥&Ωì)APT攻擊的(de)重點目标。2015年(nián)被植入後門( ↔mén)的(de)中國(guó)網站(zhà₽✔n)數(shù)量為(wèi)75028個(gè),較2014年(∞∑♥nián)增長(cháng)86.7%,其中政府網站(zhàn)為(wèi)$±φ3514個(gè),較2014年(nián)增長(cháng)130%。
2014年(nián)底,百度已對(duì)部分(fēnα)地(dì)區(qū)開(kāi)放(fàng)HTTPS加密搜索服務 ε★,随後,百度實行(xíng)全站(zhàn)化(huà)HT₽✘TPS安全加密服務,百度HTTPS安全加密已覆蓋主流浏覽器β≈ (qì),旨在用(yòng)戶打造了(le)一(yī)個(gè)☆δ更隐私化(huà)的(de)互聯網空(kōng)間(jiān)、加速了(le₹€☆)國(guó)內(nèi)互聯網的(de)HTT&∞PS化(huà)。同時(shí)也(yě)希望更多(duō)網∞γ÷站(zhàn)加入到(dào)HTTPS的(de)隊>☆≤伍中來(lái),為(wèi)網絡安全貢獻一(yī)份力量。₩ ↔在此,百度站(zhàn)長(cháng)學院 ✘向大(dà)家(jiā)詳細介紹一(yī)下 ←(xià)HTTPS,後續還(hái)會(huì)有(yǒu£®₽)更詳細深入的(de)方案教程推出,各位敬請(qǐ∞λng)期待。
HTTPS是(shì)什(shén)麽HTTPS(全稱:Hyper Text Transfer Protoco★ l over Secure Socket Layeδ§r),是(shì)以安全為(wèi)目标的(de)HTTP通(tōn₽₹≤¥g)道(dào),簡單講是(shì)HTTP的(de)安全版。即HT✘<TP下(xià)加入SSL層,HTTPS的(de¥"&)安全基礎是(shì)SSL,因此加密的(de)詳細內 <(nèi)容就(jiù)需要(yào)SSL。 HTTPS存在不(b♣β✔ù)同于HTTP的(de)默認端口及一(yī)個(gè)加密/身(± σshēn)份驗證層(在HTTP與TCP之間(jiān))。這(zhè)個(g₹©≈Ωè)系統提供了(le)身(shēn)份驗證與Ωδ↕'加密通(tōng)訊方法。現(xiàn)在它被廣泛用(∑↑±yòng)于萬維網上(shàng)安全敏感的(de)通(tō★σng)訊,例如(rú)交易支付方面。
傳統的(de)HTTP模式,存在著(zhe)大(dà)量的(de)灰色中間₩'λα(jiān)環節,相(xiàng)關信息很(hěn)容易被竊♥<'取,但(dàn)HTTPS卻是(shì)通≈ φ(tōng)過認證用(yòng)戶與服務器(q₩ ≠€ì),将數(shù)據準确地(dì)發送到(dào)客戶機(jī)±§與服務器(qì),并采用(yòng)加密方式以防Ω數(shù)據中途被盜取,大(dà)大(dà)降低(δφ↓αdī)了(le)第三方竊取信息、篡改冒充身(shēn)份₽÷的(de)風(fēng)險。
HTTPS主要(yào)由有(yǒu)兩部分(fēn$±)組成:HTTP + SSL / TLS, ↕也(yě)就(jiù)是(shì)在HTTP上(shàng)又(yòu)加了(±☆le)一(yī)層處理(lǐ)加密信息的(de)模塊。服βφ£務端和(hé)客戶端的(de)信息傳輸都(dōu)會(huì)↓®通(tōng)過TLS進行(xíng)加'€↓φ密,所以傳輸的(de)數(shù)據都(dōu)是(shì)™≠♠加密後的(de)數(shù)據。HTTPS與HTT☆→☆♦P的(de)原理(lǐ)區(qū)别可(k♥•ě)以觀察下(xià)圖:
HTTP工(gōng)作(zuò)原理(lǐ):φ₩
①客戶端的(de)浏覽器(qì)首先要(yào)通(tōng)過網絡與服務αΩ•器(qì)建立連接,該連接是(shì)通(tōng)₩€ ®過TCP來(lái)完成的(de),一(yī)般TCP連β接的(de)端口号是(shì)80。 建立連接後,客戶機(jī≠↔γ)發送一(yī)個(gè)請(qǐng)求給服務器(qì)☆£,請(qǐng)求方式的(de)格式為(wèi):統一(y↔☆ī)資源标識符(URL)、協議(yì)版本号,後邊是(shì)MIM≤≠ E信息包括請(qǐng)求修飾符、客戶機(jī)信息和(hé)Ω±→許可(kě)內(nèi)容。
② 服務器(qì)接到(dào)請(qǐng)求後,給予相(x≤iàng)應的(de)響應信息,其格式為(wèi)一(yī)個(g↓σ ☆è)狀态行(xíng),包括信息的(de)協議(yì)版本'•↔π号、一(yī)個(gè)成功或錯(cuò)誤的(de)代碼,後邊是(shì¥₹&)MIME信息包括服務器(qì)信息、實體(tǐ)信息和(hé)可↕★β→(kě)能(néng)的(de)內(nèi)容 ₽₽★。
HTTPS的(de)工(gōng)作(zuò)原理(lǐ):
①. 客戶端将它所支持的(de)算(suàn)法列表和(hé)一σ ÷φ(yī)個(gè)用(yòng)作(zuò)産生(sh&↔ēng)密鑰的(de)随機(jī)數(shù)發送給服務∏δ器(qì);
②. 服務器(qì)從(cóng)算(su γàn)法列表中選擇一(yī)種加密算(suàn)σ₹法,并将它和(hé)一(yī)份包含服務器(qì)公用(yòng)密鑰的(de÷©)證書(shū)發送給客戶端;該證書(sh>Ω¥ū)還(hái)包含了(le)用(yòng)于認證目的(Ω>₽✔de)的(de)服務器(qì)标識,服務器(qì)同時(shδ₽í)還(hái)提供了(le)一(yī)個(gè←)用(yòng)作(zuò)産生(shēng)密鑰的(de)随機(jī)數(s €↔hù);
③. 客戶端對(duì)服務器(qì)的(de)證書(s™×hū)進行(xíng)驗證(有(yǒu)關驗證¥≠證書(shū),可(kě)以參考數(shù)字簽©✘↓★名),并抽取服務器(qì)的(de)公用(yòng)密鑰;然後, α'♥再産生(shēng)一(yī)個(gè)稱作(zuò)pr™↔♥e_master_secret的(de)随機(jī)密碼串,并使用(yòn∞$g)服務器(qì)的(de)公用(yòng)密鑰對(duì)其進行(£★xíng)加密(參考非對(duì)稱加/解密),并将加密←™↕•後的(de)信息發送給服務器(qì);
④. 客戶端與服務器(qì)端根據pre_master_secret以及 ±客戶端與服務器(qì)的(de)随機(jī)數♠"✘(shù)值獨立計(jì)算(suàn)出加密和(hé)♥★MAC密鑰(參考DH密鑰交換算(suàn)法)。
⑤. 客戶端将所有(yǒu)握手消息$← ≠的(de)MAC值發送給服務器(qì);
⑥. 服務器(qì)将所有(yǒu)握手消息的(de)MAC值發送給≤↑客戶端。
HTTPS的(de)數(shù)據加密性:
HTTPS中數(shù)據的(de)保密性主要&↓(yào)是(shì)通(tōng)過加密完成的(de)。加↔" 密算(suàn)法一(yī)般分(fēn)為(w≠∑♠"èi)兩種,一(yī)種是(shì)非對(duì)稱加密(也(yě∏ ÷¥)叫公鑰加密),另外(wài)一(yī)種是(shì)對≤(duì)稱加密(也(yě)叫密鑰加密)。
HTTPS使用(yòng)非對(duì)稱加解密主要(yào)有®©(yǒu)兩個(gè)作(zuò)用(yòng),一(yī)個(g÷±α✘è)是(shì)密鑰協商,另外(wài)可(kě)以用(yòng)來(lá←× ≠i)做(zuò)數(shù)字簽名。所謂密鑰協商簡單說(shuō)就(←™↓jiù)是(shì)根據雙方各自(zì)的(de)信息計(j§ì)算(suàn)得(de)出雙方傳輸內(nèi)容時(shí)對(duì)↑π稱加解密需要(yào)使用(yòng)的(de™"σ₩)密鑰。如(rú)下(xià)圖:
對(duì)稱加密就(jiù)是(shì)☆&§加密和(hé)解密都(dōu)使用(yòng)的ε®(de)是(shì)同一(yī)個(gè)密鑰。如(rú)下(xià)圖:
HTTS多(duō)次握手和(hé)複雜(zá↑≈α₩)的(de)加密機(jī)制(zhì)有(yǒu)效的(de)加大(dà ♣)了(le)網站(zhàn)的(de)安全性,加密機(jī)制(zhì£ λ★)與認證機(jī)制(zhì)可(kě)以減少(shǎo)網站(zh↑≥àn)被劫持和(hé)假冒的(de)風(fēng)險!
掃二維碼與項目經理(lǐ)溝通(tōng)
我們在微(wēi)信上(shàng)24小(xiǎo)時(s♥↔™hí)期待你(nǐ)的(de)聲音(yīn)
解答(dá)本文(wén)疑問(wèn)/技(jì)£ ♣↓術(shù)咨詢/運營咨詢/技(jì)術¶↓&γ(shù)建議(yì)/互聯網交流