从DNS到HTTPS
一、HTTPS定义
超文本传输安全协议(HyperText Transfer Protocol Secure,缩写:HTTPS)是一种通过计算机网络进行安全通信的传输协议。
HTTPS经由HTTP进行通信,利用SSL/TLS来加密数据包。其主要目的,是提供对网站服务器的身份认证,保护交换资料的隐私与完整性。
二、HTTPS流程
一般而言HTTPS需要基于DNS域名系统(Domain Name System),它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53;
当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
域名解析过程
操作系统会首先检查自己本地的hosts文件是否有该网址映射关系,如果有就直接调用ip地址映射完成解析;
查找本地dns解析器缓存是否有该网址映射关系,如果有就直接返回完成域名解析;
查询tcp/ip参数中设置的首选dns服务器,此服务器收到查询时,如果要查询的域名包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析;
如果该服务器缓存了此网址映射关系,则调用这个ip地址映射,完成域名解析;
根据本地dns服务器的设置进行查询,当未使用转发模式,本地dns就把请求发至13台根dns服务器,根dns服务器收到请求后会判断这个域名是谁来授权管理,并返回一个负责该顶级域名服务器的一个ip。当本地dns服务器收到这个地址后,就会找到该域名服务器,重复上面的动作进行查询直到找到该域名主机;
如果使用转发模式,此dns服务器就会把请求转发至上一级dns服务器,由上一级服务器进行解析,如此循环。
HTTP组成
协议组成:
起始行(start line),描述请求或响应的基本信息(方法&空格&url&空格&版本号&回车换行);
头部字段(header),使用key-value形式更详细的说明报文;
消息正文(entity),实际传输的数据;
起始行和头部字段合并成为请求头或响应头,即Header;
消息正文即body,Header与body之间有一个空行(CRLF);
请求方法:
GET获取资源,请求访问已被uri识别的资源;
POST传输实体;
PUT传输文件;
HEAD获得响应首部,与GET相同,只是不返回报文主体;
DELETE删除文件;
OPTIONS询问支持的方法,用来查询针对uri指定资源支持的方法;TRACE追踪路径,服务端将之前的请求通信环返还给客户端;CONNECT要求使用隧道协议连接代理,实现用隧道协议进行TCP通信。
TCP/UDP
TCP(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层(Transport layer)通信协议,当客户端和服务端彼此传输数据前,必须先在双方之间建立连接,之后才能传输数据;
TCP协议使用超时重传、数据确认等方式来确保数据包被正确的发送;
UDP(User Datagram Protocol)是一种无连接、不可靠、基于数据包的用户数据协议;
UDP传输数据包前不需要在客户端和服务端之间建立连接,只是把包发出去;
容易丢包,效率高;
TCP连接流程:
客户端发送syn包(syn=x)到服务端,并进入SYN_SENT状态,等待服务端确认;
服务端收到syn包,必须确认客户的SYN(ack=x+1),同时自己也发送一个SYN包(syn=y),即SYN+ACK包,此时服务器进入SYN_RECV状态;
客户端收到服务端的SYN+ACK包,向服务端发送确认包ACK(ack=y+1),客户端和服务端进入ESTABLISHED(TCP连接成功)状态;
TCP断开流程:
客户端向服务端发送的报文中FIN设置为1,请求与服务端断开连接;
服务端收到FIN报文,返回确认应答包(ACK);
服务端发送FIN报文段,请求关闭连接;
客户端想服务端发送ACK报文段,服务端收到后直接断开连接,客户端等待2ms后断开;
一般而言使用UDP时通过广播找到目标地址,然后点对点进行数据传输。
HTTPS加密流程
客户端发起一个HTTPS请求,请求服务器公钥,连接443端口,还包含此时客户端生成的随机数(Client Random);
服务端收到请求后生成一对公私钥和一个随机数(Server Random),把公钥以数字证书的形式加上刚才生成的随机数(Server Random)返回给客户端;证书中有一个公钥(CA)来加密信息,私钥(CA)由服务端持有;
客户端收到数字证书后,先验证证书的合法性;
验证通过后,客户端生成一个随机值(pre-master),并用服务器生成的公钥加密,发给服务端;
服务端收到随机值(pre-master)后,使用私钥进行解密,通过(Client Random、Server Random、pre-master)随机数合成会话密钥(对称加密);
双方使用该密钥对传输信息加密;
客户端和服务端相互发送摘要信息(Encrypted Handshake Message(Finishd)),使用会话密钥加密验证是否被篡改过。
三、如何避免中间人攻击(劫持)
证书锁死,证书过期强制更新;
开启校验域名、证书有效性、证书关键信息及证书链。
四、HTTP与HTTPS的区别
HTTP默认使用80端口,HTTPS默认使用443端口;
安全性;
HTTPS需要多次握手,导致加载时间是HTTP的2-100倍;
HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗;
SSL涉及安全算法会消耗CPU资源。