HTTP协议因为其轻、小、快、简单,所以在全世界普及开来,各种应用都离不开它。但是随着业务复杂度的提高,HTTP的这些优点逐渐成为了短板。所以就开始各种打补丁,比如因为HTTP是无状态的协议,所以为了管理状态而诞生的Cookie。这篇文章要说的是其中一个为了安全而诞生的超级补丁SSL(HTTPS)。
HTTP在安全方面哪儿不行
窃听
HTTP使用明文进行传输,因此传输内容可能会被窃听。以太网工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址,因为只有与数据包中目标地址一致的那台主机才能接收到信息包,但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么,主机都将可以接收到。
伪装
HTTP协议中不管是请求还是响应都不会对客户端和服务器的身份进行确认。在HTTP协议通信时,任何人都可以发起请求,服务器只要接收到请求,不管对方是谁都会返回一个响应(当然,可以在服务端对IP或者端口进行限制)。因此,可能服务器或者客户端并不是我们想象中的对方。而且,对于无意义的请求服务器也会照单全收,可能会遭遇DoS攻击。
篡改
对于信息的准确性我们可以用一个专业术语—报文完整性来说明,由于HTTP无法验证通信报文的完整性,因此,在请求或者响应发送之后到接收这段时间内,传输的内容可能已经被篡改(中间人攻击)。
HTTPS
防止被窃听—加密
加密分为两种,首先是对通信的加密,HTTP协议中没有加密机制,但是可以通过外挂的方式对通信进行加密,通过和SSL或TLS的组合使用,可以加密HTTP的通信内容。其次是对内容的加密,在这种情况下,客户端和服务器需要对发送的内容进行加密解密操作。另外,由于该方法不像SSL和TLS一样对整个通信线路进行加密,虽然内容不会被窃听,但是可能会被篡改。此外,加密分为对称加密和非对称加密。HTTPS当然是使用最复杂的混合加密机制(对称加密和非对称加密一起使用)(SSL、TLS、对称和非对称加密稍后会介绍)。
防止遭遇伪装—证书
借助刚刚提到的SSL,它不仅提供加密处理,还提供了用于确认通信双方身份的东西—证书。证书是由大家都信任的第三方机构颁发的,用来证明服务器或者客户端是实际存在的。
防止被篡改—摘要
借助与SSL提供的认证、加密和摘要功能,这些功能组合起来可以有效检测传输内容的完整性。当然,HTTP本身就带有MD5和SHA-1等散列值校验的方法,但是并不可靠。
因此,可以说HTTPS就是穿着SSL马甲的HTTP。
基于以上原因,本站决定升级HTTPS,目前已经基本部署完成,后续会处理一些新生问题。
