+8618149523263

A HTTPS és a HTTP közötti különbség

Dec 04, 2021

A HTTPS (teljes név: Hyper Text Transfer Protocol over SecureSocket Layer) egy HTTP-csatorna, amelynek célja a biztonság. A HTTP alapján az átviteli titkosítás és az identitás-hitelesítés biztosítja az átviteli folyamat biztonságát [1]. A HTTPS SSL-t ad hozzá a HTTP alapján. A HTTPS biztonsági alapja az SSL, így a titkosítás részleteihez SSL szükséges. A HTTPS alapértelmezett portja eltér a HTTP-től és egy titkosítási/hitelesítési réteggel (HTTP és TCP között). Ez a rendszer hitelesítési és titkosított kommunikációs módszereket biztosít. Széles körben használják a világhálón található biztonságérzékeny kommunikációban, például a tranzakciós fizetésekben.


A HTTPS főként két részből áll: HTTP + SSL / TLS, azaz a titkosított információk feldolgozására szolgáló modulréteg hozzáadódik a HTTP-hez. A kiszolgáló és az ügyfél közötti információtovábbítás TLS-en keresztül lesz titkosítva, így a továbbított adatok mind titkosított adatok.


HTTP elv

(1) Az ügyfél böngészőjének először kapcsolatot kell létesítenie a szerverrel a hálózaton keresztül. A kapcsolat TCP-n keresztül fejeződik be. A TCP-kapcsolat portszáma általában 80. A kapcsolat létrehozása után az ügyfél kérelmet küld a kiszolgálónak. A kérelem formátuma: Egységes erőforrás-azonosító (URL), protokoll verziószám, majd MIME-információk, beleértve a kérésmódosítókat, az ügyféladatokat és a licenctartalmat.

(2) A kérelem kézhezvétele után a szerver megadja a megfelelő válaszinformációkat. A formátum egy állapotsor, amely tartalmazza az információk protokollverziószámát, a sikeres vagy hibakódot, és a MIME-információk tartalmazzák a kiszolgáló adatait, az entitás adatait és a lehetséges tartalmat.


HTTPS elv

(1) Az ügyfél elküldi az általa támogatott algoritmusok listáját és a kulcs létrehozásához használt véletlen számot a szerverre;

(2) A szerver kiválaszt egy titkosítási algoritmust az algoritmuslistából, és elküldi azt, valamint egy tanúsítványt, amely tartalmazza a szerver nyilvános kulcsát az ügyfélnek; a tanúsítvány tartalmazza a kiszolgáló azonosítását hitelesítés céljából, és a kiszolgáló egy véletlenszerű számként használt felhasználót is biztosít a kulcs létrehozásához;

(3) Az ügyfél ellenőrzi a szerver tanúsítványát (a tanúsítvány ellenőrzéséhez hivatkozhat a digitális aláírásra), és kinyeri a szerver nyilvános kulcsát; ezután hozzon létre egy pre_master_secret nevű véletlenszerű jelszó karakterláncot, és használja a kiszolgáló titkosítás nyilvános kulcsát (lásd az aszimmetrikus titkosítást / visszafejtést), és küldje el a titkosított információkat a kiszolgálónak;

(4) Az ügyfél és a szerver önállóan számítja ki a titkosítási és MAC-kulcsokat pre_master_secret és az ügyfél és a kiszolgáló véletlenszerű értéke alapján (lásd a DH kulcscsere algoritmusát);

(5) Az ügyfél elküldi az összes kézfogási üzenet MAC értékét a szervernek;

(6) A szerver elküldi az összes kézfogási üzenet MAC értékét az ügyfélnek


előny


A HTTPS protokoll segítségével hitelesítheti a felhasználókat és a kiszolgálókat annak biztosítása érdekében, hogy az adatokat a megfelelő ügyfélnek és kiszolgálónak küldjék el;


A HTTPS protokoll az SSL+HTTP által létrehozott hálózati protokoll, amely titkosított átvitelhez és identitás-hitelesítéshez használható. Biztonságosabb, mint a HTTP. Megakadályozhatja az adatok ellopását és megváltoztatását az átvitel során, és biztosíthatja az adatok integritását.


A HTTPS a legbiztonságosabb megoldás a jelenlegi architektúrában. Bár nem teljesen biztonságos, jelentősen növeli a középen lévő támadások költségeit.


Hiány


Ugyanebben a hálózati környezetben a HTTPS protokoll közel 50%-kal meghosszabbítja az oldal betöltési idejét, és 10%-kal 20%-kal növeli az energiafogyasztást. Ezenkívül a HTTPS protokoll hatással lesz a gyorsítótárra is, növelve az adatterhelést és az energiafogyasztást.


A HTTPS protokoll biztonsága hatókörrel rendelkezik, és kevés hatással van a hacker támadásokra, a szolgáltatásmegtagadási támadásokra és a szerver eltérítésére.


A legfontosabb dolog az, hogy az SSL tanúsítvány hitellánc-rendszere nem biztonságos. Különösen akkor, ha egyes országok szabályozhatják a hitelesítésszolgáltatói főtanúsítványt, a középen lévő támadások egyaránt megvalósíthatók.


Megnövekedett költségek. A HTTPS üzembe helyezése után a HTTPS protokoll munkája növeli a további számítási erőforrások fogyasztását. Például az SSL protokoll titkosítási algoritmusa és az SSL-interakciók száma bizonyos mennyiségű számítási erőforrást és szerverköltséget foglal el. Nagyméretű felhasználói hozzáférési alkalmazások esetén a kiszolgálónak gyakori titkosítási és visszafejtési műveleteket kell végrehajtania, és szinte minden bájtot titkosítani és visszafejteni kell, ami kiszolgálói költségeket von maga után. A felhőalapú számítástechnikai technológia fejlesztésével az adatközpontokban telepített kiszolgálók használatának költsége fokozatosan csökkent a méretnövekedés után. A felhasználói hozzáférés biztonságának javításával összehasonlítva a bemeneti költség elfogadható szintre csökkent.


A szálláslekérdezés elküldése