HTTP与HTTPS全面对比及HTTPS加密流程详解
一、HTTP与HTTPS核心区别
| 特性 | HTTP | HTTPS |
|---|---|---|
| 协议基础 | 明文传输 | HTTP + SSL/TLS加密层 |
| 默认端口 | 80 | 443 |
| 加密方式 | 无加密 | 混合加密(非对称+对称) |
| 证书要求 | 不需要 | 需要CA颁发的数字证书 |
| 安全性 | 易被窃听、篡改、冒充 | 防窃听、防篡改、身份认证 |
| 性能开销 | 无加密开销 | 增加10-20%的CPU消耗 |
| SEO影响 | 无特殊优势 | 搜索引擎排名加权 |
二、HTTP协议内容组成
1. 请求报文结构
GET /index.html HTTP/1.1\r\n
Host: www.example.com\r\n
User-Agent: Mozilla/5.0\r\n
Accept: text/html\r\n
\r\n
[请求体]
-
请求字段(Request Headers):
-
Host:指定请求的目标域名和端口号。
-
User-Agent:标识客户端信息(浏览器/设备类型)。
-
Accept:声明客户端可接受的响应类型。
-
Authorization:携带认证凭证(如Bearer Token)
2. 响应报文结构
HTTP/1.1 200 OK\r\n Content-Type: text/html\r\n Content-Length: 1234\r\n \r\n <!DOCTYPE html>...
-
响应字段(Response Headers):
-
Server:标识服务器软件信息。
-
Set-Cookie:设置在客户端要存储的Cookie。
-
Location:重定向目标URL(3xx响应时)。
-
通用字段(General Headers):
-
Cache-Control:控制缓存行为(强缓存)。
-
Connection:管理TCP连接(如keep-alive)。
-
Date:消息产生的日期时间(GMT格式)
-
实体字段(Entity Headers):
-
Content-Type:声明消息体的媒体类型。
-
Content-Length:指示消息体的大小(字节数)。帮助客户端判断响应是否接收完整
-
Content-Encoding:指定消息体的编码方式。支持gzip/deflate等压缩算法
-
Last-Modified:资源最后修改时间(用于缓存验证)
3. 主要方法
| 方法 | 作用 | 幂等性 |
|---|---|---|
| GET | 获取资源 | 是 |
| POST | 提交数据 | 否 |
| PUT | 替换资源 | 是 |
| DELETE | 删除资源 | 是 |
| HEAD | 获取报文首部 | 是 |
三、HTTPS加密机制详解(结合了对称加密和非对称加密)
1. 加密类型组合
-
非对称加密(用于密钥交换)
-
算法:RSA、ECDHE
-
作用:安全传输对称加密的密钥
-
-
对称加密(用于数据传输)
-
算法:AES、ChaCha20
-
作用:加密实际通信内容
-
2. HTTPS完整流程(TLS 1.2)
现代TLS 1.3优化
TLS 1.3(2018年发布)做了重大改进:
-
1-RTT握手:默认支持前向安全的ECDHE
-
0-RTT模式:对近期连接过的服务器可立即发送加密数据
-
简化密码套件:移除不安全的算法(如RSA密钥交换)
-
加密证书:服务器证书在加密扩展中发送
3. 密钥交换两种方式
(1) RSA密钥交换
(2) ECDHE密钥交换(前向安全)
密钥交换算法对比
| 特性 | RSA密钥交换 | ECDHE密钥交换 |
|---|---|---|
| 前向安全性 | 无 | 有 |
| 密钥生成开销 | 服务器低 | 双方都需要计算 |
| 主流支持 | TLS 1.2及以下 | TLS 1.2/1.3首选 |
| 密钥材料 | 静态服务器密钥 | 临时密钥对 |
4. 会话密钥生成
双方使用以下参数生成相同的会话密钥:
-
Client Random
-
Server Random
-
Premaster Secret
通过PRF(伪随机函数)生成:
python代码
master\_secret = PRF(pre\_master\_secret + ClientRandom + ServerRandom)
key\_block = PRF(master\_secret + "key expansion" + ServerRandom + ClientRandom)
四、HTTPS安全增强机制
1. 证书验证流程
-
检查证书链完整性
-
验证有效期
-
检查域名匹配
-
吊销状态检查:
-
CRL(证书吊销列表)
-
OCSP(在线证书状态协议)
-
OCSP Stapling(服务器提供响应)
-
2. TLS 1.3主要改进
-
1-RTT握手:简化握手流程
-
0-RTT模式:对近期连接可立即发送数据
-
移除不安全算法:仅保留前向安全加密套件
-
加密证书传输:增强隐私保护
五、性能优化建议
-
会话恢复:
-
Session ID缓存
-
Session Ticket机制
-
-
证书优化:
-
使用ECDSA证书
-
选择更短的证书链
-
-
协议优化:
-
启用HTTP/2 over HTTPS
-
开启TLS False Start
-
-
硬件加速:
-
AES-NI指令集
-
专用SSL加速卡
-
HTTPS通过巧妙的混合加密机制,既解决了对称加密的密钥分发问题,又避免了非对称加密的性能瓶颈,是现代Web安全的基石。理解其工作原理有助于开发者更好地调试和优化Web应用。
六:关于https证书申请:
以下是一些常用的https证书申请,需要花钱,具体流程可以去具体的网站看,有详细的流程,不一一赘述了。同时需要注意使用https时可能需要更改nginx相关代码。
-
阿里云
-
腾讯云
-
certbot
-
acme.sh
-
freessl.cn