域名https的缺點(diǎn)與改進(jìn)目標(biāo)

??HTTPS是以安全為目標(biāo)的 HTTP 通道，在HTTP的基礎(chǔ)上通過(guò)傳輸加密和身份認(rèn)證保證了傳輸過(guò)程的安全性 。HTTPS 在HTTP 的基礎(chǔ)下加入SSL，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細(xì)內(nèi)容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在 HTTP與TCP之間）。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付等方面。下面新網(wǎng)小編給大家介紹一下域名https的缺點(diǎn)與改進(jìn)目標(biāo)。

??HTTP的缺點(diǎn)

??HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測(cè)的缺乏, 而這兩點(diǎn)恰好是網(wǎng)絡(luò)支付,網(wǎng)絡(luò)交易等新興應(yīng)用中安全方面最需要關(guān)注的。

??關(guān)于 HTTP的明文數(shù)據(jù)傳輸, 攻擊者最常用的攻擊手法就是網(wǎng)絡(luò)嗅探, 試圖從傳輸過(guò)程當(dāng)中分析出敏感的數(shù)據(jù), 例如管理員對(duì)Web程序后臺(tái)的登錄過(guò)程等等, 從而獲取網(wǎng)站管理權(quán)限, 進(jìn)而滲透到整個(gè)服務(wù)器的權(quán)限。即使無(wú)法獲取到后臺(tái)登錄信息, 攻擊者也可以從網(wǎng)絡(luò)中獲取普通用戶的隱秘信息, 包括手機(jī)號(hào)碼, 身份證號(hào)碼, 信用卡號(hào)等重要資料, 導(dǎo)致嚴(yán)重的安全事故。進(jìn)行網(wǎng)絡(luò)嗅探攻擊非常簡(jiǎn)單, 對(duì)攻擊者的要求很低。使用網(wǎng)絡(luò)發(fā)布的任意一款抓包工具, 一個(gè)新手就有可能獲取到大型網(wǎng)站的用戶信息[3]。

??另外,HTTP在傳輸客戶端請(qǐng)求和服務(wù)端響應(yīng)時(shí), 唯一的數(shù)據(jù)完整性檢驗(yàn)就是在報(bào)文頭部包含了本次傳輸數(shù)據(jù)的長(zhǎng)度, 而對(duì)內(nèi)容是否被篡改不作確認(rèn)。 因此攻擊者可以輕易的發(fā)動(dòng)中間人攻擊, 修改客戶端和服務(wù)端傳輸?shù)臄?shù)據(jù), 甚至在傳輸數(shù)據(jù)中插入惡意代碼, 導(dǎo)致客戶端被引導(dǎo)至惡意網(wǎng)站被植入木馬 。

??域名https的改進(jìn)目標(biāo)

??HTTPS 協(xié)議是由 HTTP 加上TLS/SSL協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，主要通過(guò)數(shù)字證書(shū)、加密算法、非對(duì)稱密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密，實(shí)現(xiàn)互聯(lián)網(wǎng)傳輸安全保護(hù)。設(shè)計(jì)目標(biāo)主要有三個(gè)。

??（1）數(shù)據(jù)保密性：保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^(guò)程中不會(huì)被第三方查看。就像快遞員傳遞包裹一樣，都進(jìn)行了封裝，別人無(wú)法獲知里面裝了什么[4]。

??（2）數(shù)據(jù)完整性：及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數(shù)據(jù)完整性就是指如果被掉包，我們能輕松發(fā)現(xiàn)并拒收[4]。

??（3）身份校驗(yàn)安全性：保證數(shù)據(jù)到達(dá)用戶期望的目的地。就像我們郵寄包裹時(shí)，雖然是一個(gè)封裝好的未掉包的包裹，但必須確定這個(gè)包裹不會(huì)送錯(cuò)地方，通過(guò)身份校驗(yàn)來(lái)確保送對(duì)了地方。

??HTTPS的 原理

??① 客戶端將它所支持的算法列表和一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)送給服務(wù)器 。

??② 服務(wù)器從算法列表中選擇一種加密算法，并將它和一份包含服務(wù)器公用密鑰的證書(shū)發(fā)送給客戶端；該證書(shū)還包含了用于認(rèn)證目的的服務(wù)器標(biāo)識(shí)，服務(wù)器同時(shí)還提供了一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù) 。

??③ 客戶端對(duì)服務(wù)器的證書(shū)進(jìn)行驗(yàn)證（有關(guān)驗(yàn)證證書(shū)，可以參考數(shù)字簽名），并抽取服務(wù)器的公用密鑰；然后，再產(chǎn)生一個(gè)稱作 pre_master_secret 的隨機(jī)密碼串，并使用服務(wù)器的公用密鑰對(duì)其進(jìn)行加密（參考非對(duì)稱加 / 解密），并將加密后的信息發(fā)送給服務(wù)器。

??④ 客戶端與服務(wù)器端根據(jù) pre_master_secret 以及客戶端與服務(wù)器的隨機(jī)數(shù)值獨(dú)立計(jì)算出加密和MAC密鑰（參考 DH密鑰交換算法）。

??⑤ 客戶端將所有握手消息的 MAC 值發(fā)送給服務(wù)器。

??⑥ 服務(wù)器將所有握手消息的 MAC 值發(fā)送給客戶端。

??HTTPS 主要由兩部分組成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一層處理加密信息的模塊。Google、Facebook和國(guó)內(nèi)諸多大型互聯(lián)網(wǎng)公司應(yīng)用已經(jīng)全面支持 HTTPS，并且蘋(píng)果和谷歌兩大公司也在積極推動(dòng) HTTPS 擴(kuò)大應(yīng)用 范圍，對(duì) HTTPS 協(xié)議在全球網(wǎng)站的部署進(jìn)度起到加速作用。想要獲得更多關(guān)于域名https的內(nèi)容，請(qǐng)關(guān)注新網(wǎng)。