HTTPS
HTTPS(HyperText Transfer Protocol Secure),译为:超文本传输安全协议- 常称为HTTP over TLS、HTTP over SSL、HTTP Secure
HTTPS的默认端口号是443(HTTP是80)
SSL/TLS
HTTPS是在HTTP的基础上使用SSL/TLS来加密报文,对窃听和中间人攻击提供合理的防护- SSL/TLS也可以用在其他协议上,比如
- FTP → FTPS
- SMTP → SMTPS
- TLS(Transport Layer Security),译为:传输层安全性协议
- 前身是SSL(Secure Sockets Layer),译为:安全套接层
工作在哪一层
- 应用层构造数据
- 传输层拆分数据
SSL/TLS位于二者之间,将数据整体加密,传输层再将加密的数据拆分。
OpenSSL
OpenSSL是SSL/TLS协议的开源实现,始于1998年,支持Windows、Mac、Linux等平台- 可以使用
OpenSSL构建一套属于自己的CA,自己给自己颁发证书,称为“自签名证书”
HTTPS的成本
- 证书的费用
- 加解密计算
- 降低了访问速度
- 有些企业的做法是:包含敏感数据的请求才使用
HTTPS,其他保持使用HTTP
HTTPS的通信过程
- 总的可以分为3大阶段
TCP的3次握手TLS的连接HTTP请求和响应
TLS 1.2的链接
- Client Hello
- TLS的版本号
- 支持的加密组件(Cipher Suite)列表
- 加密组件是指所使用的加密算法及密钥长度等
- 一个随机数(Client Random)
- Server Hello
- TLS的版本号
- 选择的加密组件
- 是从接收到的客户端加密组件列表中挑选出来的
- 一个随机数(Server Random)
- Certificate
- 服务器的公钥证书(被CA签名过的)
- 服务器的公钥证书(被CA签名过的)
- Server Key Exchange
- 用以实现ECDHE算法的其中一个参数(Server Params)
- ECDHE是一种密钥交换算法
- 为了防止伪造,Server Params经过了服务器私钥签名
- 用以实现ECDHE算法的其中一个参数(Server Params)
- Server Hello Done
- 告知客户端:协商部分结束
- 目前为止,客户端和服务器之间通过明文共享了
- Client Random、Server Random、Server Params
- 而且,客户端也已经拿到了服务器的公钥证书,接下来,客户端会验证证书的真实有效性
- Client Key Exchange
- 用以实现ECDHE算法的另一个参数(Client Params)
- 用以实现ECDHE算法的另一个参数(Client Params)
- 目前为止,客户端和服务器都拥有了ECDHE算法需要的2个参数:Server Params、Client Params
- 客户端、服务器都可以
- 使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串:Pre-master secret
- 然后结合Client Random、Server Random、Pre-master secret生成一个主密钥
- 最后利用主密钥衍生出其他密钥:客户端发送用的会话密钥、服务器发送用的会话密钥等
- Change Cipher Spec
- 告知服务器:之后的通信会采用计算出来的会话密钥进行加密
- 告知服务器:之后的通信会采用计算出来的会话密钥进行加密
- Finished
- 包含连接至今全部报文的整体校验值(摘要),加密之后发送给服务器
- 这次握手协商是否成功,要以服务器是否能够正确解密该报文作为判定标准
- Change Cipher Spec
- Finished
- 到此为止,客户端服务器都验证加密解密没问题,握手正式结束
- 后面开始传输加密的HTTP请求和响应
HTTP2/3
HTTP协议的不足(HTTP/1.1)
- 同一时间,一个连接只能对应一个请求
- 针对同一个域名,大多数浏览器允许同时最多6个并发连接
- 只允许客户端主动发起请求
- 一个请求只能对应一个响应
- 同一个会话的多次请求中,头信息会被重复传输
- 通常会给每个传输增加500~800字节的开销
- 如果使用 Cookie,增加的开销有时会达到上千字节
SPDY
- SPDY(speedy的缩写),是基于TCP的应用层协议,它强制要求使用SSL/TLS
- 2009年11月,Google宣布将SPDY作为提高网络速度的内部项目
- SPDY与HTTP的关系
- SPDY并不用于取代HTTP,它只是修改了HTTP请求与响应的传输方式
- 只需增加一个SPDY层,现有的所有服务端应用均不用做任何修改
- SPDY是HTTP/2的前身
- 2015年9月,Google宣布移除对SPDY的支持,拥抱HTTP/2
HTTP2
- HTTP/2在底层传输做了很多的改进和优化,但在语意上完全与HTTP/1.1兼容
- 比如请求方法(如GET、POST)、Status Code、各种Headers等都没有改变
- 因此,要想升级到HTTP/2
- 开发者不需要修改任何代码
- 只需要升级服务器配置、升级浏览器
HTTP2的特性
HTTP2的特性 - 二进制格式
- HTTP/2采用二进制格式传输数据,而非HTTP/1.1的文本格式
- 二进制格式在协议的解析和优化扩展上带来更多的优势和可能
HTTP2的特性 - 一些基本概念
- 数据流:已建立的连接内的双向字节流,可以承载一条或多条消息
- 所有通信都在一个TCP连接上完成,此连接可以承载任意数量的双向数据流
- 消息:与逻辑HTTP请求或响应消息对应,由一系列帧组成
- 帧:HTTP/2通信的最小单位,每个帧都包含帧头(会标识出当前帧所属的数据流)
- 来自不同数据流的帧可以交错发送,然后再根据每个帧头的数据流标识符重新组装
- 来自不同数据流的帧可以交错发送,然后再根据每个帧头的数据流标识符重新组装
HTTP2的特性 - 多路复用
- 客户端和服务器可以将HTTP消息分解为互不依赖的帧,然后交错发送,最后再在另一端把它们重新组装起来
- 并行交错地发送多个请求,请求之间互不影响
- 并行交错地发送多个响应,响应之间互不干扰
- 使用一个连接并行发送多个请求和响应
- 不必再为绕过HTTP/1.1限制而做很多工作
- 比如image sprites、合并CSS\JS、内嵌CSS\JS\Base64图片、域名分片等
- 比如image sprites、合并CSS\JS、内嵌CSS\JS\Base64图片、域名分片等
image sprites(精灵图片)
- image sprites(也叫做CSS Sprites),将多张小图合并成一张大图
- 最后通过CSS结合小图的位置、尺寸进行精准定位
- 最后通过CSS结合小图的位置、尺寸进行精准定位
HTTP2的特性 - 优先级
- HTTP/2 标准允许每个数据流都有一个关联的权重和依赖关系
- 可以向每个数据流分配一个介于1至256之间的整数
- 每个数据流与其他数据流之间可以存在显式依赖关系
- 客户端可以构建和传递“优先级树”,表明它倾向于如何接收响应
- 服务器可以使用此信息通过控制CPU、内存和其他资源的分配设定数据流处理的优先级
- 在资源数据可用之后,确保将高优先级响应以最优方式传输至客户端
- 在资源数据可用之后,确保将高优先级响应以最优方式传输至客户端
- 应尽可能先给父数据流分配资源
- 同级数据流(共享相同父项)应按其权重比例分配资源
- A、B依赖于隐式“根数据流”,A获得的资源比例是12/16,B获得的资源比例是4/16
- D依赖于根数据流,C依赖于D,D应先于C获得完整资源分配
- D应先于C获得完整资源分配,C应先于A和B获得完整资源分配,B获得的资源是A所获资源的1/3
- D应先于E和C获得完整资源分配,E和C应先于A和B获得相同的资源分配,B获得的资源是A所获资源的1/3
HTTP2的特性 - 头部压缩
HTTP2的特性 - 服务器推送
- 服务器可以对一个客户端请求发送多个响应
- 除了对最初请求的响应外,服务器还可以向客户端推送额外资源,而无需客户端额外明确地请求
- 除了对最初请求的响应外,服务器还可以向客户端推送额外资源,而无需客户端额外明确地请求
HTTP2的问题
队头阻碍
- TCP协议导致的问题
- 使用QUIC协议可以解决
握手延迟
- 使用QUIC协议可以解决
HTTP3
- HTTP/3由Google开发,弃用TCP协议,改为使用基于UDP协议的QUIC协议实现
- QUIC(Quick UDP Internet Connections),译为:快速UDP网络连接,由Google开发,在2013年实现
如何保证可靠传输?
- 由QUIC来保证
