從HTTP到HTTPS再到HSTS
近些年,隨著域名劫持、資訊洩漏等網路安全事件的頻繁發生,網站安全也變得越來越重要,也促成了網路傳輸協議從 HTTP 到 HTTPS 再到 HSTS 的轉變。
HTTP
HTTP(超文字傳輸協議) 是一種用於分散式、協作式和超媒體資訊系統的應用層協議。HTTP 是網際網路資料通訊的基礎。它是由全球資訊網協會(W3C)和網際網路工程任務組(IETF)進行協調製定了 HTTP 的標準,最終釋出了一系列的 RFC,並且在1999年6月公佈的 RFC 2616,定義了 HTTP 協議中現今廣泛使用的一個版本——HTTP 1.1。
HTTP 訪問過程
HTTP 屬於 TCP/IP 模型中的應用層協議,當瀏覽器與伺服器進行互相通訊時,需要先建立TCP 連線,之後伺服器才會接收瀏覽器的請求資訊,當接收到資訊之後,伺服器返回相應的資訊。最後瀏覽器接受對伺服器的資訊應答後,對這些資料進行解釋執行。
△http 1.0 請求模式
HTTP 1.0 時,瀏覽器每次訪問都要單獨建立連線,這會造成資源的浪費。
後來HTTP 1.1可以在一次連線中處理多個請求,並且將多個請求重疊進行
△http 1.1 請求模式
HTTP 協議特點
-
簡單、快速、靈活:當使用者想伺服器傳送請求時,只需傳送請求方法和路徑即可,HTTP 允許傳輸任意型別的資料物件。並且HTTP協議簡單易用,HTTP 伺服器規模小,保證了網路通訊的速度;
-
無連線、無狀態:HTTP協議限制每次連線只處理單個請求,當伺服器收到使用者請求後就會斷開連線,保證了傳輸時間的節省。同時HTTP協議對事務處理沒有記憶能力,如果後續的請求需要使用前面的資訊就必須重傳資料;
-
管線化和內容編碼:隨著管線化技術的出現,HTTP 請求比永續性連線速度更快,並且當某些報文的內容過大時,為了減少傳輸的時間,HTTP 會採取壓縮檔案的方式;
-
HTTP 支援客戶/伺服器模式
-
如果你想學習前端,可以來這個Q群,首先是291,中間是851,最後是189,裡面可以學習和交流,也有資料可以下載。
從HTTP到HTTPS
HTTP 協議由於其簡單快速、佔用資源少,一直被用於網站伺服器和瀏覽器之間進行資料傳輸。但是在資料傳輸的過程中也存在很明顯的問題,由於 HTTP 是明文協議,不會對資料進行任何方式的加密。當黑客攻擊竊取了網站伺服器和瀏覽器之間的傳輸報文的時,可以直接讀取傳輸的資訊,造成網站、使用者資料的洩密。因此 HTTP 不適用于敏感資訊的傳播,這個時候需要引入 HTTPS(超文字傳輸安全協議)。
HTTPS
HTTPS(Hypertext Transfer Protocol Secure )是一種以計算機網路安全通訊為目的的傳輸協議。在HTTP下加入了SSL層,從而具有了保護交換資料隱私和完整性和提供對網站伺服器身份認證的功能,簡單來說它就是安全版的 HTTP 。
△ HTTP、HTTPS 差異
HTTPS 訪問過程
HTTPS在進行資料傳輸之前會與網站伺服器和Web瀏覽器進行一次握手,在握手時確定雙方的加密密碼資訊。
具體過程如下:
-
Web 瀏覽器將支援的加密資訊傳送給網站伺服器;
-
網站伺服器會選擇出一套加密演算法和雜湊演算法,將驗證身份的資訊以證書(證書釋出CA機構、證書有效期、公鑰、證書所有者、簽名等)的形式傳送給Web瀏覽器;
-
當 Web 瀏覽器收到證書之後首先需要驗證證書的合法性,如果證書受到瀏覽器信任則在瀏覽器位址列會有標誌顯示,否則就會顯示不受信的標識。當證書受信之後,Web 瀏覽器會隨機生成一串密碼,並使用證書中的公鑰加密。之後就是使用約定好的雜湊演算法握手訊息,並生成隨機數對訊息進行加密,再將之前生成的資訊傳送給網站;
△ Chrome 瀏覽器 HTTPS安全標識
4. 當網站伺服器接收到瀏覽器傳送過來的資料後,會使用網站本身的私鑰將資訊解密確定密碼,然後通過密碼解密Web瀏覽器傳送過來的握手資訊,並驗證雜湊是否與Web瀏覽器一致。然後伺服器會使用密碼加密新的握手資訊,傳送給瀏覽器;
5. 最後瀏覽器解密並計算經過雜湊演算法加密的握手訊息,如果與服務傳送過來的雜湊一致,則此握手過程結束後,伺服器與瀏覽器會使用之前瀏覽器生成的隨機密碼和對稱加密演算法進行加密交換資料。
△ HTTPS 握手過程
HTTPS 加密演算法
為了保護資料的安全,HTTPS 運用了諸多加密演算法:
1. 對稱加密:有流式、分組兩種,加密和解密都是使用的同一個金鑰。
例如:DES、AES-GCM、ChaCha20-Poly1305 等。
2. 非對稱加密:加密使用的金鑰和解密使用的金鑰是不相同的,分別稱為:公鑰、私鑰,公鑰和演算法都是公開的,私鑰是保密的。非對稱加密演算法效能較低,但是安全性超強,由於其加密特性,非對稱加密演算法能加密的資料長度也是有限的。
例如:RSA、DSA、ECDSA、 DH、ECDHE 等。
3. 雜湊演算法:將任意長度的資訊轉換為較短的固定長度的值,通常其長度要比資訊小得多,且演算法不可逆。
例如:MD5、SHA-1、SHA-2、SHA-256 等。
4. 數字簽名:簽名就是在資訊的後面再加上一段內容(資訊經過 hash 後的值),可以證明資訊沒有被修改過。hash 值一般都會加密後(也就是簽名)再和資訊一起傳送,以保證這個 hash 值不被修改。
從 HTTPS 到 HSTS
但是當網站傳輸協議從 HTTP 到 HTTPS 之後,資料傳輸真的安全了嗎?
由於使用者習慣,通常準備訪問某個網站時,在瀏覽器中只會輸入一個域名,而不會在域名前面加上 http:// 或者 https://,而是由瀏覽器自動填充,當前所有瀏覽器預設填充的都是http://。一般情況網站管理員會採用了 301/302 跳轉的方式由 HTTP 跳轉到 HTTPS,但是這個過程總使用到 HTTP 因此容易發生劫持,受到第三方的攻擊。
這個時候就需要用到 HSTS(HTTP 嚴格安全傳輸)。
△ HTTP 請求劫持
HSTS
HSTS是國際網際網路工程組織 IETF 正在推行一種新的 Web 安全協議,網站採用 HSTS 後,使用者訪問時無需手動在位址列中輸入 HTTPS,瀏覽器會自動採用 HTTPS 訪問網站地址,從而保證使用者始終訪問到網站的加密連結,保護資料傳輸安全。
HSTS原理
HSTS 主要是通過伺服器傳送響應頭的方式來控制瀏覽器操作:
1. 首先在伺服器響應頭中新增 HSTS 響應頭:
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]
此響應頭只有在 https 訪問返回時才生效,其中[ ]中的參數列示可選;
2. 設定 max-age 引數,時間設定不宜過長,建議設定時間為 6 個月;
3. 當使用者下次使用 HTTP 訪問,客戶端就會進行內部跳轉,並且能夠看到 307 Redirect Internel 的響應碼;
4. 網站伺服器變成了 HTTPS 訪問源伺服器。
開啟 HSTS 後網站可以有效防範中間人的攻擊,同時也會省去網站 301/302 跳轉花費的時間,大大提升安全係數和使用者體驗。
開啟 HSTS 後網站安全係數檢測測評
開啟 HSTS 以後,可以到 ssllabs 進行測試,網站的安全等級會進一步提升。
開啟前等級為:A
開啟後等級變為:A+
總結
從 HTTP 到 HTTPS 再到 HSTS,網站的安全係數一直在上升,防止 DNS 劫持、資料洩密的力度也再加大。
相關文章
- 從 HTTP 到 HTTPS 再到 HSTSHTTP
- 從HTTP到HTTPSHTTP
- 從http到https你可以這樣做HTTP
- 【React深入】從Mixin到HOC再到HookReactHook
- HTTP HSTS協議和 nginxHTTP協議Nginx
- HSTS 詳解,讓 HTTPS 更安全HTTP
- 從Rails到Clojure再到Java,最後回到RailsAIJava
- 使用htaccess Https到http重定向HTTP
- 從【預編譯】到【宣告提升】到【作用域鏈】再到【閉包】編譯
- 將網站應用從 HTTP 協議免費升級到 HTTPS網站HTTP協議
- 如何配置使用 HTTP 嚴格傳輸安全(HSTS)HTTP
- 從 HTTP 切換到 HTTPS,這下我的技術部落格安全了吧?HTTP
- ThinkSNS+ 基於 Laravel master 分支,從 1 到 0,再到 0.1LaravelAST
- 從物件導向到模式再到真正的物件導向 (轉)物件模式
- Nginx怎樣將HTTP重定向到HTTPSNginxHTTP
- 從HTTP到WEB快取HTTPWeb快取
- SOA/ESB架構升級之路:從微服務到ServiceMesh,再到Sermant架構微服務
- 旅行青蛙破解分析從記憶體到存檔再到改包記憶體
- 如何設定HTTP自動跳轉到HTTPSHTTP
- http,https, http2.0HTTP
- ios網路協議從http變成httpsiOS協議HTTP
- HTTP從入門到放棄HTTP
- Python3之從遞迴到閉包再到裝飾器Python遞迴
- 從邏輯解偶到物理解耦再到前後端分離解耦後端
- 帶你從零到一理解 HTTPSHTTP
- HTTP從入門到入土(5)——HTTP報文格式HTTP
- 本地測試Http升級到Https(證書信任)HTTP
- nginx開啟ssl並把http重定向到httpsNginxHTTP
- 從http到https,你也許需要這樣做|第一部分HTTP
- HTTP 和 HTTPSHTTP
- HTTPS和HTTPHTTP
- HTTP和HTTPSHTTP
- 關於nginx HTTP Strict Transport Security (HSTS) Policy Not Enabled 的處理NginxHTTP
- HTTP與HTTPS:為什麼HTTPS比HTTP更安全?HTTP
- 從技術到工具再到落地,Pivotal多位技術專家詳解Greenplum
- 恆訊科技教你:http怎麼直接跳轉到https?HTTP
- Nginx的https配置記錄以及http強制跳轉到https的方法梳理NginxHTTP
- tomcat從 http轉成https,並且去掉埠號TomcatHTTP